自拍亚洲一区欧美另类,亚洲成人影院,亚洲午夜久久久久妓女影院,最近中文字幕高清中文字幕无,亚洲熟妇av一区二区三区漫画

設(shè)計(jì)觀(guān)點(diǎn)

精準(zhǔn)傳達(dá) ? 價(jià)值共享

洞悉互聯(lián)網(wǎng)前沿資訊,探尋網(wǎng)站營(yíng)銷(xiāo)規(guī)律

webshell檢測(cè)方法歸納

作者:Smileby陌少羽 | 2017-06-09 08:13 |點(diǎn)擊:

一  什么是webshell


“web”的含義是顯然需要服務(wù)器開(kāi)放web服務(wù),“shell”的含義是取得對(duì)服務(wù)器某種程度上操作權(quán)限。webshell常常被稱(chēng)為匿名用戶(hù)(入侵者)通過(guò)網(wǎng)站端口對(duì)網(wǎng)站服務(wù)器的某種程度上操作的權(quán)限。
簡(jiǎn)單理解:webshell就是一個(gè)web的頁(yè)面,但是它的功能非常強(qiáng)大可以獲得一些管理員不希望你獲得的權(quán)限,比如執(zhí)行系統(tǒng)命令、刪除web頁(yè)面、修改主頁(yè)等。
webshell中由于需要完成一些特殊的功能就不可避免的用到一些特殊的函數(shù),我們也就可以對(duì)著特征值做檢查來(lái)定位webshell,同樣的webshell本身也會(huì)進(jìn)行加密來(lái)躲避這種檢測(cè)。

二  webshell長(zhǎng)什么樣子


下圖就是一張php webshell的截圖,它的功能還是比較全的,如果你是網(wǎng)站管理員的話(huà)肯定是不希望普通用戶(hù)獲得下面的權(quán)限的。

webshell檢測(cè)方法歸納
 

x01 webshell檢測(cè)模型

Webshell的運(yùn)行流程:hacker -> HTTP Protocol -> Web Server -> CGI。簡(jiǎn)單來(lái)看就是這樣一個(gè)順序:黑客通過(guò)瀏覽器以HTTP協(xié)議訪(fǎng)問(wèn)Web Server上的一個(gè)CGI文件。棘手的是,webshell就是一個(gè)合法的TCP連接,在TCP/IP的應(yīng)用層之下沒(méi)有任何特征(當(dāng)然不是絕對(duì)的),只有在應(yīng)用層進(jìn)行檢測(cè)。黑客入侵服務(wù)器,使用webshell,不管是傳文件還是改文件,必然有一個(gè)文件會(huì)包含webshell代碼,很容易想到從文件代碼入手,這是靜態(tài)特征檢測(cè);webshell運(yùn)行后,B/S數(shù)據(jù)通過(guò)HTTP交互,HTTP請(qǐng)求/響應(yīng)中可以找到蛛絲馬跡,這是動(dòng)態(tài)特征檢測(cè)。

 

0x02 靜態(tài)檢測(cè)

靜態(tài)檢測(cè)通過(guò)匹配特征碼,特征值,危險(xiǎn)函數(shù)函數(shù)來(lái)查找webshell的方法,只能查找已知的webshell,并且誤報(bào)率漏報(bào)率會(huì)比較高,但是如果規(guī)則完善,可以減低誤報(bào)率,但是漏報(bào)率必定會(huì)有所提高。優(yōu)點(diǎn)是快速方便,對(duì)已知的webshell查找準(zhǔn)確率高,部署方便,一個(gè)腳本就能搞定。缺點(diǎn)漏報(bào)率、誤報(bào)率高,無(wú)法查找0day型webshell,而且容易被繞過(guò)。對(duì)于單站點(diǎn)的網(wǎng)站,用靜態(tài)檢測(cè)還是有很大好處,配合人工,能快速定位webshell,但是如果是一個(gè)成千上萬(wàn)站點(diǎn)的大型企業(yè)呢,這個(gè)時(shí)候再人肉那工作量可就大了。所以用這樣一種思路:強(qiáng)弱特征。即把特征碼分為強(qiáng)弱兩種特征,強(qiáng)特征命中則必是webshell;弱特征由人工去判斷。加入一種強(qiáng)特征,即把流行webshell用到的特征作為強(qiáng)特征重點(diǎn)監(jiān)控,一旦出現(xiàn)這樣的特征即可確認(rèn)為webshell立即進(jìn)行響應(yīng)。要解決誤報(bào)和漏報(bào),就不能拘泥于代碼級(jí)別了??梢該Q個(gè)角度考慮問(wèn)題:文件系統(tǒng)。我們可以結(jié)合文件的屬性來(lái)判斷,比如apache是noboy啟動(dòng)的,webshell的屬主必然也是nobody,如果我的Web目錄無(wú)緣無(wú)故多了個(gè)nobody屬主的文件,這里就有問(wèn)題了。最理想的辦法是需要制度和流程來(lái)建設(shè)一個(gè)web目錄唯一發(fā)布入口,控制住這個(gè)入口,非法進(jìn)來(lái)的Web文件自然可以發(fā)現(xiàn)。

筆者基于靜態(tài)檢測(cè)的webshell工具

 

0x03 動(dòng)態(tài)檢測(cè)



 

webshell傳到服務(wù)器了,黑客總要去執(zhí)行它吧,webshell執(zhí)行時(shí)刻表現(xiàn)出來(lái)的特征,我們稱(chēng)為動(dòng)態(tài)特征。先前我們說(shuō)到過(guò)webshell通信是HTTP協(xié)議。只要我們把webshell特有的HTTP請(qǐng)求/響應(yīng)做成特征庫(kù),加到IDS里面去檢測(cè)所有的HTTP請(qǐng)求就好了。webshell起來(lái)如果執(zhí)行系統(tǒng)命令的話(huà),會(huì)有進(jìn)程。Linux下就是nobody用戶(hù)起了bash,Win下就是IIS User啟動(dòng)cmd,這些都是動(dòng)態(tài)特征。再者如果黑客反向連接的話(huà),那很更容易檢測(cè)了,Agent和IDS都可以抓現(xiàn)行。Webshell總有一個(gè)HTTP請(qǐng)求,如果我在網(wǎng)絡(luò)層監(jiān)控HTTP,并且檢測(cè)到有人訪(fǎng)問(wèn)了一個(gè)從沒(méi)反問(wèn)過(guò)得文件,而且返回了200,則很容易定位到webshell,這便是http異常模型檢測(cè),就和檢測(cè)文件變化一樣,如果非管理員新增文件,則說(shuō)明被人入侵了。缺點(diǎn)也很明顯,黑客只要利用原文件就很輕易繞過(guò)了,并且部署代價(jià)高,網(wǎng)站時(shí)常更新的話(huà)規(guī)則也要不斷添加。還有一個(gè)思路利用函數(shù)劫持?;貞浺幌?,我們調(diào)試網(wǎng)馬的時(shí)候,怎么還原它各種稀奇古怪的加密呢,簡(jiǎn)單,把eval改成alert就好了。類(lèi)似的,所以我們可以在CGI全局重載一些函數(shù)(比如ASP.NET的global.asax文件),當(dāng)有webshell調(diào)用的時(shí)候就可以發(fā)現(xiàn)異常。已js為例(php,asp等語(yǔ)言思路一樣的,都是保存原函數(shù),然后從新定義原函數(shù),最后在調(diào)用保存的原函數(shù)),比如下面就是把eval重載,還可以彈出個(gè)危險(xiǎn)提示等,嚇退一些沒(méi)經(jīng)驗(yàn)黑客。
 

三   webshell檢測(cè)有哪些方法

 


如果你懷疑你的網(wǎng)站被人上傳了webshell或者你需要檢查一下需要上線(xiàn)的代碼中是否被嵌入了shell代碼,就需要對(duì)這些文件進(jìn)行掃描,那么有哪些方法可以?huà)呙璩鲞@些webshell呢?
下面列舉一下,也就是我們的webshell掃描工具中實(shí)現(xiàn)的功能。
1 求文件的重合指數(shù)index of coincidence(縮寫(xiě)為IC)
首先介紹一下什么是IC?

webshell檢測(cè)方法

IC是用來(lái)判斷文件是否被加密的一種方法。它的計(jì)算公式是這樣的:

Σ(fi * (fi-1))/N(N-1)    :fi 代表樣本中某個(gè)字母出現(xiàn)的比率,N代表字母出現(xiàn)在樣本中的個(gè)數(shù)

通過(guò)計(jì)算,我們可以得到以下兩個(gè)值:

english的IC值為0.0667,
english中一個(gè)完全隨機(jī)的字符串的IC值為0.0385

那么這兩個(gè)值有什么意義呢?
簡(jiǎn)單來(lái)說(shuō)(english),
加密文件的IC值接近0.0385
明文文件的IC值接近0.0667
好了,那么我們就可以計(jì)算每個(gè)文件的IC值,如果這個(gè)文件的IC值接近0.0385,那么我們認(rèn)為它是加密的,而一個(gè)web中加密的文件一般就意味著它是個(gè)為了逃避檢測(cè)的webshell。

如沒(méi)特殊注明,文章均為狐靈科技原創(chuàng),轉(zhuǎn)載請(qǐng)注明?? "webshell檢測(cè)方法歸納
多一份免費(fèi)策劃方案,總有益處。

請(qǐng)直接添加技術(shù)總監(jiān)微信聯(lián)系咨詢(xún)

網(wǎng)站設(shè)計(jì) 品牌營(yíng)銷(xiāo)

多一份參考,總有益處

聯(lián)系狐靈科技,免費(fèi)獲得專(zhuān)屬《策劃方案》及報(bào)價(jià)

咨詢(xún)相關(guān)問(wèn)題或預(yù)約面談,可以通過(guò)以下方式與我們聯(lián)系

業(yè)務(wù)熱線(xiàn):15082661954 / 大客戶(hù)專(zhuān)線(xiàn):15523356218