[TOC] ## WebShell分类 ~~~ • JSP类型 • ASP类型 • PHP类型 ~~~ ## WebShell用途 ~~~ • 站长工具 • 持续远程控制 • 权限提升 • 极强隐蔽性 ~~~ ## WebShell检测方法 * 基于流量的 WebShell 检测 方便部署，通过流量镜像直接分析原始信息。基于payload的行为分析，不仅对已知webshelli进行检测，还能识别出未知的、伪装性强的webshell。对webshell的访问特征(IP/UA/Cookie)payload特征、path特征、时间特征等进行关联分析，以时间为索引，还原攻击事件。 * 基于文件的 WebShell 检测 检测是否包含webshell特征，例如常用的各种函数。检测是否加密（混淆处理）来判断是否为webshell文件hash检测，创建webshell样本hashing库，进行对比分析可疑文件。对文件的创建时间、修改时间、文件权限等进行检测，以确认是否为webshell沙箱技术，根据动态语言沙箱运行时的行为特征进行判断 * 基于日志的 WebShell 检测 支持常见的多种日志格式。对网站的访问行为进行建模，可有效识别webshelle的上传等行为对日志进行综合分析，回溯整个攻击过程。 * **三种检测方式，基于文件的检测，很多时候获取样本的部署成本比较高，同时仅仅靠样本无法看到整个攻击过程。基于日志的有些行为信息在日志中看不到，总体来说还是基于“流量"的看到的信息最多，也能更充分的还原整个攻击过程。** ## 常规处置方法 ~~~ • 确定入侵时间：文件新建时间或修改时间，确定时间以便依据时间进行溯源分析、追踪攻击者的活动路径 • Web 日志分析：通过Web日志进行分析，关注入侵前后的日志记录，从而寻找攻击者的攻击路径 • 漏洞分析：通过日志查找攻击路径，溯源找到网站中存在的漏洞，并进行漏洞分析 • 漏洞复现：对发现的漏洞进行漏洞复现，从而还原攻击者的活动路径 • 漏洞修复：清除WebShell并进行漏洞修复，避免再次攻击；定期进行网站的全面安全检查，及时安装相关补丁 ~~~ ## 常用工具 ~~~ 扫描工具 • D盾 WebShell 查杀 • 河马 WebShell 查杀 • 深信服 WebShellKillerTool • 安全狗网马查杀 抓包工具 Wireshark ~~~