WebShell(脚本木马)查杀思路

0x1、介绍 

       在web服务器上留下一个WEBSHELL后门是黑客最常见的留后门方法，传统意义上的系统后面，在各种云查杀的追缴下，基本上已经毫无出路(某些特殊工具除外)，所以WEBSHELL最为一个最经济、方便、稳定的后门，已经是黑客的不二选择，站长们，你们的web上有后门吗？

0x2、查杀思路

    WEBSHELL一般是脚本代码，ASP、ASPX、PHP、JSP、CGI、CFM等等，基本是都是解释执行，所以对脚本文件内容进行特征字符串匹配就能够进行很好的查杀，另外一些特殊解析漏洞所导致的后门(IIS服务器等解析漏洞)，也应该一起查杀！

  特征码定义思路：

  1、文件操作

  2、CMD操作

  3、数据库操作

  4、操作系统进程访问

  5、网络操作、访问

  6、代码二次执行

任何一个webshell，都离不开这几点，如果不能做到上面中的至少一点就不能称其为WEBSHELL，所以定义这些行为的特征码，就能够很好的进行WEBSHELL查杀。

0x3、定义特征码

     定义特征码，地球人都知道，那肯定是正则表达式了！ 各种语言都可以支持，很方便，各种平台下均可以使用。

0x4、开发

   开发环境采用脚本语言，避免各种环境不兼容，不跨平台，不好用。最后使用html生成报告，一键搞定。

下面上两张我电脑的扫描报告：

存在代码二次执行特征码和匹配策略个数较多的脚本文件，基本上可以认定是WEBSHELL了。

非常不好意思，文章写到这里，才发现CSDN不能上传附件的，汗死！

各位站长有需要的查杀程序的给我留言！