0x1、介绍
在web服务器上留下一个WEBSHELL后门是黑客最常见的留后门方法,传统意义上的系统后面,在各种云查杀的追缴下,基本上已经毫无出路(某些特殊工具除外),所以WEBSHELL最为一个最经济、方便、稳定的后门,已经是黑客的不二选择,站长们,你们的web上有后门吗?
0x2、查杀思路
WEBSHELL一般是脚本代码,ASP、ASPX、PHP、JSP、CGI、CFM等等,基本是都是解释执行,所以对脚本文件内容进行特征字符串匹配就能够进行很好的查杀,另外一些特殊解析漏洞所导致的后门(IIS服务器等解析漏洞),也应该一起查杀!
特征码定义思路:
1、文件操作
2、CMD操作
3、数据库操作
4、操作系统进程访问
5、网络操作、访问
6、代码二次执行
任何一个webshell,都离不开这几点,如果不能做到上面中的至少一点就不能称其为WEBSHELL,所以定义这些行为的特征码,就能够很好的进行WEBSHELL查杀。
0x3、定义特征码
定义特征码,地球人都知道,那肯定是正则表达式了! 各种语言都可以支持,很方便,各种平台下均可以使用。
0x4、开发
开发环境采用脚本语言,避免各种环境不兼容,不跨平台,不好用。最后使用html生成报告,一键搞定。
下面上两张我电脑的扫描报告:
存在代码二次执行特征码和匹配策略个数较多的脚本文件,基本上可以认定是WEBSHELL了。
非常不好意思,文章写到这里,才发现CSDN不能上传附件的,汗死!
各位站长有需要的查杀程序的给我留言!
