WebShell特征值汇总与检测工具

最新推荐文章于 2024-05-29 13:34:37 发布
最新推荐文章于 2024-05-29 13:34:37 发布
阅读量1k 收藏 2
点赞数
分类专栏: 全栈网络安全 渗透测试 代码审计 网络安全工具开发 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35029061/article/details/126093738
版权

一、WebShell检测方式

webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以是指定以服务端动态脚本形式存在的一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。

Webshell一般是指以服务端动态脚本形式存在的一种网页后门。在入侵检测的过程中,检测检测Webshell无疑是一大重点,比较常见的检测手法有: 

1. 文件内容检测(静态检测)
2. 文件行为检测(动态检测)

其中,静态检测是比较简单有效的检测Webshell的手段之一。根据Webshell的文件特征建立异常模型,并使用大量的Webshell样本对模型进行训练,通过诸如异常函数、关键代码以及文件内容与普通业务代码的相似度等等关键点来进行分析检测。

WebShell检测模型

了解本专栏 订阅专栏 解锁全文 超级会员免费看
wespten
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
机器学习应用之WebShell检测
Mi1k7ea
12-09 6537
本文主要参考自兜哥的《Web安全之机器学习入门》 前段时间在研究WebShell的检测查杀,然后看到兜哥的著作中提到的几个机器学习算法中也有实现WebShell检测的,主要有朴素贝叶斯分类、K邻近算法、图算法、循环神经网络算法等等,就一一试试看效果吧。 Python中的几个机器学习的库 1、numpy: 安装:pip install --user numpy 2、SciPy:
如何使用ShellSweep检测特定目录中潜在的webshell文件
FreeBuf_的博客
03-02 913
ShellSweep是一款功能强大的webshell检测工具,该工具使用了PowerShell、Python和Lua语言进行开发,可以帮助广大研究人员在特定目录中检测潜在的webshell文件。1、该工具只会处理具备默写特定扩展名的文件,即webshell常用的扩展名,其中包括.asp、.aspx、.asph、.php、.jsp等;ShellScan模块能够扫描多个已知的包含恶意webshell的目录,并按照文件扩展名输出熵的平均值、中位数、最小值和最大值。3、在扫描过程中,可以忽略某些特定哈希的文件;
一款基于python开发webshell检测工具+源代码+文档说明
12-01
## 工具简介 findWebshell是一款基于python开发webshell检查工具,可以通过配置脚本,方便得检测webshell后门。 ## 使用说明 Usage: main.py [options] Options: -h, --help show this help message and exit -p PATH, --path=PATH input web directory filepath -o OUTPUT, --output=OUTPUT create a html report -e php|asp|aspx|jsp|all, --ext=php|asp|aspx|jsp|all define what's file format to scan ## 示例 python main.py -e php -p /var/www/test -o output -e 网页格式 -p 扫描的路径 -o 生成的html文件名,默认生成report.html ## 开发文档 ### 字典添加 - directory目录下的sensitiveWord.py定义的是后门中的敏感关键字,可以手动添加,格式为{"关键字":"类型"} ``` php_sensitive_words = { "www.phpdp.org":"PHP神盾加密后门", "www.phpjm.net":"PHP加密后门" } ``` -------- 该资源内项目源码是个人的毕设,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! <项目介绍> 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 --------
常见webshell工具及特征分析
白帽黑客八哥的博客
05-29 1460
在工作中经常会遇到各种websehll,黑客通常要通过各种方式获取 webshell,从而获得企业网站的控制权,识别出webshell文件或通信流量可以有效地阻止黑客进一步的攻击行为,下面以常见的四款webshell进行分析,对工具连接流量有个基本认识。Webshell简介webshell就是以aspphp、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。
常见的 Webshell 查杀工具
Stestack的博客
05-22 1472
当网站服务器被入侵时,我们需要一款Webshell检测工具,来帮助我们发现webshell,进一步排查系统可能存在的安全漏洞。本文推荐了10款 WebShll 检测工具,用于网站入侵排查。当然,目前市场上的很多主机安全产品也都提供这种 WebShell 检测能力,比如阿里云、青藤云、safedog 等,本文暂不讨论。1、D盾_Web查杀阿D出品,使用自行研发不分扩展名的代码分析引擎,能分析更为隐藏的 WebShell 后门行为。兼容性:只提供 Windows 版本。
10款常见的Webshell检测工具
04-10 3万+
当网站服务器被入侵时,我们需要一款Webshell检测工具,来帮助我们发现webshell,进一步排查系统可能存在的安全漏洞。本文推荐了10款Webshll检测工具,用于网站入侵排查。...
常见的webshell的流量特征和检测思路
weixin_45585955的博客
04-11 6578
所以分析如上:该流量是WebShell链接流量的第一段链接流量,其中特征主要在i=A&z0=GB2312,菜刀链接JSP木马时,第一个参数定义操作,其中参数值为A-Q,如i=A,第二个参数指定编码,其参数值为编码,如z0=GB2312,有时候z0后面还会接着又z1=、z2=参数用来加入攻击载荷。最后传给cmd的这些流量字符中有自己的特征,1、都是系统命令;2、必须以分号结尾;至此,冰蝎成为了一个完美的开箱即用的工具,本体内存马免杀,流量免杀,功能齐全,兼容性好,在连续几年的攻防演练中,成为最热门的工具。
安全实践:webshell检测
围城
03-24 849
2020/03/07 - 引言 最近在看webshell检测的相关文章,最初的搜索的关键词是webshell +cnn,通过找了一些论文来看看具体的检测效果,这里看了几篇文章感觉不错。 基于机器学习的 Webshell 发现技术探索[1] 这篇文章算是看到的比较早的文章了,文章中将多种webshell的检测方法都进行了说明,并将前期的代码处理方式也进行了完整的说明。 前期预处理三种方法:直接使...
基于python开发webshell检测工具
最新发布
06-28
【作品名称】:基于python开发webshell检测工具 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】: 使用说明 Usage: ...
一种基于多视角特征融合的Webshell检测方法
01-19
针对上述不足之处,基于PHP语言Webshell,提出了一种基于多视角特征融合的Webshell检测方法,首先,提取包括词法特征、句法特征、抽象特征在内的多种特征;其次,利用费舍尔评分对特征进行重要程度的排序与筛选;...
webshell检测工具集合.zip
06-16
webshell攻击检测工具集合,包含大部分webshell检测工具
智能检测WebShell的机器学习算法
01-20
针对这些问题,提出一种智能检测 WebShell 的机器学习算法,通过对已知存在WebShell和不存在WebShell的页面进行特征学习,完成对未知页面的预测,灵活性、适应性较好。实验证明,相比传统的WebShell检测方法,该算法...
D盾-webshell检测必备工具
07-09
D盾的功能比较强大, 最常见使用方式包括如下功能:1、查杀webshell,隔离可疑文件;2、端口进程查看、base64解码以及克隆账号检测等辅助工具;3、文件监控。第一个是D盾的主要功能,后面功能是D盾的辅助功能,但是...
常见的webshell工具的流量特征
m0_66458291的博客
01-19 2571
常见的webshell工具流量的简单分析(菜刀、蚁剑、冰蝎、哥斯拉)
php+webshell+检测,基于PHPWebshell自动检测
weixin_35048266的博客
04-14 474
0x00 引言看到wooyun知识库上众多大神的精彩文章,深感自身LOW到爆,故苦思冥想找来一个题目,主要求邀请码一枚,以便以后继续学习。对于网络维护人员来说,恐怕最头痛的就是网站被黑,还留下了后门,甚至连服务器都被提权。而Hacker通常在相对不易引人注目的地方留下后门。逐个排查感觉很吃力,那么,本文姑且探讨一下在PHP环境下的Webshell自动检测的可行方案。0x01 关键词检测利用正则表达...
kali下的webshell工具-Weevely
@小张小张的博客
09-29 3625
kali下的webshell工具-Weevely weevely是适用于php网站的webshell工具,使用weevely生成的木马免杀能力较强,而且使用加密连接,往往能轻松突破WAF拦截。 Weevely工具使用Python语言编写,集生成木马与连接于一身,相当于Linux中的中国菜刀,但只适用于php网站,支持图片与.htaccess两种绕过方式。生成的木马文件进行了base64加密处理。它实现了SSH 风格的终端界面,并有大量自动化的模块。测试人员可用它执行系统指令、远程管理和渗透后期的自动渗透;
网络安全-webshell详解(原理、攻击、检测与防御)
热门推荐
关注网络安全、云原生安全
09-14 6万+
简介 原理 攻击 WebShell管理工具 Cknife中国菜刀 antSword中国蚁剑 冰蝎动态二进制加密网站管理客户端 weevely3Weaponized web shell Altmanthe cross platform webshell tool in .NET Webshell SniperManage your website via terminal quasibotcomplex webshell manager, quasi-http botne...
WebShell 特征分析
sechelper的博客
05-26 1214
关注公众号领取学习路线和资料。​WebShell是黑客经常使用的一种恶意脚本,其目的是获得服务器的执行操作权限,常见的webshell编写语言为aspjspphp。主要用于网站管理,服务器管理,权限管理等操作。使用方法简单,只需要上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站的服务器的管理。正因如此,也有小部分人将代码修改后当作后门程序使用,以达到控制网站服务器的目的,
网页去重(三)之特征值的提取
残缺的歌的专栏
12-24 2461
网页去重(三)特征值 一、      什么是特征值 下面收集来自百度百科的资料: TFIDF的主要思想是:如果某个词或短语在一篇文章中出现的频率TF高,并且在其他文章中很少出现,则认为此词或者短语具有很好的类别区分能力,适合用来分类。TFIDF实际上是:TF *IDF,TF词频(TermFrequency),IDF逆向文件频率(InverseDocument Frequency)。T
webshell检测工具
05-15
为了保护服务器的安全,需要使用WebShell检测工具来检测服务器是否被感染。WebShell检测工具可以检测出WebShell的存在,并提供清除方案,以确保服务器的安全。这类工具通常可以自动检测服务器上的文件,对于包含可疑...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wespten

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值