一  什么是webshell

“web”的含義是顯然需要服務(wù)器開(kāi)放web服務(wù)，“shell”的含義是取得對(duì)服務(wù)器某種程度上操作權(quán)限。webshell常常被稱(chēng)為匿名用戶(hù)（入侵者）通過(guò)網(wǎng)站端口對(duì)網(wǎng)站服務(wù)器的某種程度上操作的權(quán)限。
簡(jiǎn)單理解：webshell就是一個(gè)web的頁(yè)面，但是它的功能非常強(qiáng)大可以獲得一些管理員不希望你獲得的權(quán)限，比如執(zhí)行系統(tǒng)命令、刪除web頁(yè)面、修改主頁(yè)等。
webshell中由于需要完成一些特殊的功能就不可避免的用到一些特殊的函數(shù)，我們也就可以對(duì)著特征值做檢查來(lái)定位webshell，同樣的webshell本身也會(huì)進(jìn)行加密來(lái)躲避這種檢測(cè)。

二  webshell長(zhǎng)什么樣子

下圖就是一張php webshell的截圖，它的功能還是比較全的，如果你是網(wǎng)站管理員的話(huà)肯定是不希望普通用戶(hù)獲得下面的權(quán)限的。

x01 webshell檢測(cè)模型

Webshell的運(yùn)行流程：hacker -> HTTP Protocol -> Web Server -> CGI。簡(jiǎn)單來(lái)看就是這樣一個(gè)順序：黑客通過(guò)瀏覽器以HTTP協(xié)議訪(fǎng)問(wèn)Web Server上的一個(gè)CGI文件。棘手的是，webshell就是一個(gè)合法的TCP連接，在TCP/IP的應(yīng)用層之下沒(méi)有任何特征（當(dāng)然不是絕對(duì)的），只有在應(yīng)用層進(jìn)行檢測(cè)。黑客入侵服務(wù)器，使用webshell，不管是傳文件還是改文件，必然有一個(gè)文件會(huì)包含webshell代碼，很容易想到從文件代碼入手，這是靜態(tài)特征檢測(cè)；webshell運(yùn)行后，B/S數(shù)據(jù)通過(guò)HTTP交互，HTTP請(qǐng)求/響應(yīng)中可以找到蛛絲馬跡，這是動(dòng)態(tài)特征檢測(cè)。

0x02 靜態(tài)檢測(cè)

靜態(tài)檢測(cè)通過(guò)匹配特征碼，特征值，危險(xiǎn)函數(shù)函數(shù)來(lái)查找webshell的方法，只能查找已知的webshell，并且誤報(bào)率漏報(bào)率會(huì)比較高，但是如果規(guī)則完善，可以減低誤報(bào)率，但是漏報(bào)率必定會(huì)有所提高。優(yōu)點(diǎn)是快速方便，對(duì)已知的webshell查找準(zhǔn)確率高，部署方便，一個(gè)腳本就能搞定。缺點(diǎn)漏報(bào)率、誤報(bào)率高，無(wú)法查找0day型webshell，而且容易被繞過(guò)。對(duì)于單站點(diǎn)的網(wǎng)站，用靜態(tài)檢測(cè)還是有很大好處，配合人工，能快速定位webshell，但是如果是一個(gè)成千上萬(wàn)站點(diǎn)的大型企業(yè)呢，這個(gè)時(shí)候再人肉那工作量可就大了。所以用這樣一種思路：強(qiáng)弱特征。即把特征碼分為強(qiáng)弱兩種特征，強(qiáng)特征命中則必是webshell；弱特征由人工去判斷。加入一種強(qiáng)特征，即把流行webshell用到的特征作為強(qiáng)特征重點(diǎn)監(jiān)控，一旦出現(xiàn)這樣的特征即可確認(rèn)為webshell立即進(jìn)行響應(yīng)。要解決誤報(bào)和漏報(bào)，就不能拘泥于代碼級(jí)別了?？梢該Q個(gè)角度考慮問(wèn)題：文件系統(tǒng)。我們可以結(jié)合文件的屬性來(lái)判斷，比如apache是noboy啟動(dòng)的，webshell的屬主必然也是nobody，如果我的Web目錄無(wú)緣無(wú)故多了個(gè)nobody屬主的文件，這里就有問(wèn)題了。最理想的辦法是需要制度和流程來(lái)建設(shè)一個(gè)web目錄唯一發(fā)布入口，控制住這個(gè)入口，非法進(jìn)來(lái)的Web文件自然可以發(fā)現(xiàn)。

筆者基于靜態(tài)檢測(cè)的webshell工具

0x03 動(dòng)態(tài)檢測(cè)

webshell傳到服務(wù)器了，黑客總要去執(zhí)行它吧，webshell執(zhí)行時(shí)刻表現(xiàn)出來(lái)的特征，我們稱(chēng)為動(dòng)態(tài)特征。先前我們說(shuō)到過(guò)webshell通信是HTTP協(xié)議。只要我們把webshell特有的HTTP請(qǐng)求/響應(yīng)做成特征庫(kù)，加到IDS里面去檢測(cè)所有的HTTP請(qǐng)求就好了。webshell起來(lái)如果執(zhí)行系統(tǒng)命令的話(huà)，會(huì)有進(jìn)程。Linux下就是nobody用戶(hù)起了bash，Win下就是IIS User啟動(dòng)cmd，這些都是動(dòng)態(tài)特征。再者如果黑客反向連接的話(huà)，那很更容易檢測(cè)了，Agent和IDS都可以抓現(xiàn)行。Webshell總有一個(gè)HTTP請(qǐng)求，如果我在網(wǎng)絡(luò)層監(jiān)控HTTP，并且檢測(cè)到有人訪(fǎng)問(wèn)了一個(gè)從沒(méi)反問(wèn)過(guò)得文件，而且返回了200，則很容易定位到webshell，這便是http異常模型檢測(cè)，就和檢測(cè)文件變化一樣，如果非管理員新增文件，則說(shuō)明被人入侵了。缺點(diǎn)也很明顯，黑客只要利用原文件就很輕易繞過(guò)了，并且部署代價(jià)高，網(wǎng)站時(shí)常更新的話(huà)規(guī)則也要不斷添加。還有一個(gè)思路利用函數(shù)劫持?；貞浺幌?，我們調(diào)試網(wǎng)馬的時(shí)候，怎么還原它各種稀奇古怪的加密算法呢，簡(jiǎn)單，把eval改成alert就好了。類(lèi)似的，所以我們可以在CGI全局重載一些函數(shù)（比如ASP.NET的global.asax文件），當(dāng)有webshell調(diào)用的時(shí)候就可以發(fā)現(xiàn)異常。已js為例（php，asp等語(yǔ)言思路一樣的，都是保存原函數(shù)，然后從新定義原函數(shù)，最后在調(diào)用保存的原函數(shù)），比如下面就是把eval重載，還可以彈出個(gè)危險(xiǎn)提示等，嚇退一些沒(méi)經(jīng)驗(yàn)黑客。
 

三   webshell檢測(cè)有哪些方法

如果你懷疑你的網(wǎng)站被人上傳了webshell或者你需要檢查一下需要上線(xiàn)的代碼中是否被嵌入了shell代碼，就需要對(duì)這些文件進(jìn)行掃描，那么有哪些方法可以?huà)呙璩鲞@些webshell呢？
下面列舉一下，也就是我們的webshell掃描工具中實(shí)現(xiàn)的功能。
1 求文件的重合指數(shù)index of coincidence（縮寫(xiě)為IC）
首先介紹一下什么是IC？

IC是用來(lái)判斷文件是否被加密的一種方法。它的計(jì)算公式是這樣的：

Σ(fi * (fi-1))/N(N-1)    ：fi 代表樣本中某個(gè)字母出現(xiàn)的比率，N代表字母出現(xiàn)在樣本中的個(gè)數(shù)

通過(guò)計(jì)算，我們可以得到以下兩個(gè)值：

english的IC值為0.0667，
english中一個(gè)完全隨機(jī)的字符串的IC值為0.0385

那么這兩個(gè)值有什么意義呢？
簡(jiǎn)單來(lái)說(shuō)（english），
加密文件的IC值接近0.0385
明文文件的IC值接近0.0667
好了，那么我們就可以計(jì)算每個(gè)文件的IC值，如果這個(gè)文件的IC值接近0.0385，那么我們認(rèn)為它是加密的，而一個(gè)web中加密的文件一般就意味著它是個(gè)為了逃避檢測(cè)的webshell。