Webshell入侵检测与防御全面指南<\/h1>

1. Webshell概述<\/h2>

1.1 Webshell定义<\/h3>
Webshell是一种基于Web的恶意脚本，攻击者通过上传此类脚本获取网站服务器控制权。它通常以ASP、PHP、JSP等网页脚本形式存在，能够执行系统命令、管理文件、操作数据库等。<\/p>

1.2 常见攻击方式<\/h3>

直接上传获取webshell<\/li>
通过SQL注入漏洞获取<\/li>
利用远程文件包含(RFI)漏洞<\/li>
通过FTP弱口令上传<\/li>
利用XSS漏洞作为攻击跳板<\/li>
通过后台数据库备份及恢复功能<\/li>

利用数据库压缩功能<\/li> <\/ul>

1.3 Webshell分类<\/h3>

按协议分类<\/h4>

基于TCP\/UDP的Shell<\/li>
基于ICMP的Shell<\/li>

基于DNS的Shell<\/li> <\/ul>

按依托工具分类<\/h4>

nc反弹<\/li>
telnet反弹<\/li>
SSH端口转发<\/li>

利用awk反弹Shell<\/li> <\/ul>

按编程语言分类<\/h4>

Bash脚本<\/li>
Perl\/Python\/PHP(3P)<\/li>
Ruby<\/li>

Java<\/li> <\/ul>

2. Webshell功能分析<\/h2>

2.1 站长工具功能<\/h3>

在线编辑网页脚本<\/li>
上传下载文件<\/li>
查看数据库<\/li>

执行任意程序命令<\/li> <\/ul>

2.2 攻击者功能<\/h3>

持续远程访问<\/strong><\/p>

长期控制网站服务器<\/li>
自行修复漏洞确保独占访问<\/li>
使用密码验证确保专属访问<\/li> <\/ul> <\/li>

权限提升<\/strong><\/p>

查找敏感配置文件<\/li>
利用内核漏洞提权<\/li>
利用低权限用户目录下可被Root调用的脚本<\/li>
通过任务计划提权<\/li> <\/ul> <\/li>

隐蔽性特征<\/strong><\/p>

嵌套在正常网页中运行<\/li>
通过80端口通信穿越防火墙<\/li>
POST方式发送数据避免系统日志记录<\/li>
仅在web日志中留下少量数据提交记录<\/li> <\/ul> <\/li> <\/ol>
3. Webshell检测技术<\/h2>
3.1 基于特征检测<\/h3>
常见危险函数<\/h4>

命令执行函数：<\/p>

eval<\/li>
system<\/li>
cmd_shell<\/li>
assert<\/li> <\/ul> <\/li>

文件操作函数：<\/p>

fopen<\/li>
fwrite<\/li>
readdir<\/li> <\/ul> <\/li>

数据库操作函数：<\/p>

调用系统存储过程连接数据库<\/li> <\/ul> <\/li> <\/ol>
检测方法<\/h4>
# 查找eval函数<\/span> <\/span><\/span>find \/site\/* -type f -name "*.php"<\/span> |xargs grep "eval"<\/span> <\/span><\/span> <\/span><\/span># 查找加密函数<\/span> <\/span><\/span>find \/site\/* -type f -name "*.php"<\/span> |xargs grep "base64_decode"<\/span> <\/span><\/span> <\/span><\/span># 查找拼接处理<\/span> <\/span><\/span>find \/site\/* -type f -name "*.php"<\/span> |xargs grep "@<\/span>$"<\/span> <\/span><\/span><\/code><\/pre>免杀技术<\/h4> 自定义加解密函数<\/li> 使用xor运算<\/li> 字符串反转<\/li> 压缩处理<\/li> 截断重组<\/li> <\/ul> 3.2 基于流量特征检测<\/h3> 常见命令特征<\/h4> ipconfig\/ifconfig system whoami netstateval database systeminfo <\/code><\/pre> 工具特征<\/h4> 中国菜刀<\/strong>：<\/p> 先URL编码再base64编码<\/li> 包含"z1"等特定字符串<\/li> 关闭错误回显<\/li> <\/ul> <\/li> Webacoo<\/strong>：<\/p> 编码内容通过Cookie头传输<\/li> 包含cm、cn和cp变量<\/li> <\/ul> <\/li> <\/ol> 3.3 基于系统行为检测<\/h3> 文件分析<\/h4> # 查找24小时内修改的PHP文件<\/span> <\/span><\/span>find .\/ -mtime 0<\/span> -name "*.php"<\/span> <\/span><\/span> <\/span><\/span># 按时间查找文件<\/span> <\/span><\/span>ls -al \/tmp | grep "Feb 27"<\/span> <\/span><\/span> <\/span><\/span># 查找777权限文件<\/span> <\/span><\/span>find \/ *.jsp -perm 4777<\/span> <\/span><\/span><\/code><\/pre>进程分析<\/h4> # 查看网络连接<\/span> <\/span><\/span>netstat -antlp | more <\/span><\/span> <\/span><\/span># 查找隐藏进程<\/span> <\/span><\/span>ps -ef | awk '{print}'<\/span> | sort -n | uniq >1 <\/span><\/span>ls \/proc | sort -n |uniq >2 <\/span><\/span>diff 1<\/span> 2<\/span> <\/span><\/span><\/code><\/pre>系统信息分析<\/h4> # 查看命令历史<\/span> <\/span><\/span>cat \/root\/.bash_history <\/span><\/span> <\/span><\/span># 检查用户账户<\/span> <\/span><\/span>cat \/etc\/passwd <\/span><\/span> <\/span><\/span># 检查计划任务<\/span> <\/span><\/span>crontab \/etc\/cron* <\/span><\/span> <\/span><\/span># 检查环境变量<\/span> <\/span><\/span>echo $PATH <\/span><\/span><\/code><\/pre>配置文件检查<\/h4> 检查pam.d配置<\/li> 检查php.ini等配置文件<\/li> 与基线配置对比<\/li> <\/ul> 工具检测<\/h4> # 使用chkrootkit检测<\/span> <\/span><\/span>chkrootkit -n <\/span><\/span> <\/span><\/span># 使用rkhunter检测<\/span> <\/span><\/span>rkhunter --check <\/span><\/span><\/code><\/pre>3.4 基于Web日志检测<\/h3> 日志分析命令<\/h4> # 查看访问排名前十的IP<\/span> <\/span><\/span>cat access.log | cut -f1 -d " "<\/span> | sort | uniq -c | sort -k 1<\/span> -r | head -10 <\/span><\/span> <\/span><\/span># 查看访问排名前十的URL<\/span> <\/span><\/span>cat access.log | cut -f4 -d " "<\/span> | sort | uniq -c | sort -k 1<\/span> -r | head -10 <\/span><\/span><\/code><\/pre>日志过滤项<\/h4> 去除静态资源请求(jpg,gif,png,css,js等)<\/li> 去除白名单路径(index.*等)<\/li> 去除非webshell后缀请求<\/li> 去除扫描器请求<\/li> 去除非200响应码请求<\/li> <\/ol> 3.5 其他检测方法<\/h3> 动态检测(沙箱)<\/h4> 通过运行时行为检测<\/li> 监控系统调用<\/li> 模拟执行环境<\/li> <\/ul> 统计学检测(NeoPi工具)<\/h4> 信息熵(Entropy)<\/li> 最长单词(LongestWord)<\/li> 重合指数(Index of Coincidence)<\/li> 特征签名(Signature)<\/li> 压缩率(Compression)<\/li> <\/ol> 4. Webshell防御措施<\/h2> 4.1 上传管理<\/h3> 使用FTP而非Web上传维护网页<\/li> 对上传程序进行严格身份认证<\/li> 仅允许可信人员使用上传功能<\/li> <\/ol> 4.2 账户安全<\/h3> 使用复杂的管理员账号密码<\/li> 定期更换凭证<\/li> 避免在页面暴露后台登录链接<\/li> <\/ol> 4.3 程序安全<\/h3> 从正规渠道下载程序<\/li> 保持程序最新版本<\/li> 修改默认数据库名称和路径<\/li> 维护后删除后台登录页面<\/li> <\/ol> 4.4 其他措施<\/h3> 定期备份重要数据<\/li> 监控异常脚本文件<\/li> 关闭或限制网站搜索功能<\/li> 实施白名单文件上传策略<\/li> 遵循最小权限原则设置目录权限<\/li> <\/ol> 5. 应急响应建议<\/h2> 了解系统架构(服务器类型、CMS、中间件等)<\/li> 通过文件、进程、日志等多维度分析<\/li> 建立系统配置基线便于比对<\/li> 使用专业工具辅助检测(chkrootkit、rkhunter等)<\/li> 对可疑文件进行沙箱分析或上传至在线检测平台<\/li> <\/ol> 通过以上全面的检测与防御措施，可以有效降低Webshell带来的安全风险，保护网站服务器的安全。<\/p>

Webshell入侵检测与防御全面指南<\/h1>

1. Webshell概述<\/h2>

1.1 Webshell定义<\/h3> Webshell是一种基于Web的恶意脚本，攻击者通过上传此类脚本获取网站服务器控制权。它通常以ASP、PHP、JSP等网页脚本形式存在，能够执行系统命令、管理文件、操作数据库等。<\/p>

1.3 Webshell分类<\/h3>

2. Webshell功能分析<\/h2>

3. Webshell检测技术<\/h2>

3.1 基于特征检测<\/h3>

3.2 基于流量特征检测<\/h3>

3.3 基于系统行为检测<\/h3>

3.4 基于Web日志检测<\/h3>

3.5 其他检测方法<\/h3>

4. Webshell防御措施<\/h2>

1.1 Webshell定义<\/h3>
Webshell是一种基于Web的恶意脚本，攻击者通过上传此类脚本获取网站服务器控制权。它通常以ASP、PHP、JSP等网页脚本形式存在，能够执行系统命令、管理文件、操作数据库等。<\/p>