Webshell的常见检测方法与靠谱工具推荐

目录

webshell简介
Webshell检测
1静态检测
2文件属性检测
3流量(日志)检测
4动态检测
5统计学检测
6常见的靠谱检测工具

Webshell简介

安全人员所说的Webshell的web指的是在web服务器，而shell是用脚本语言编写的脚本程序，Webshell通常是一个可执行的脚本文件。攻击者在入侵时，通常要通过各种方式取得webshell，从而获得网站的控制权，然后进行之后的进一步入侵行为。
Webshell常见的获取手法包括：直接上传webshell、SQL注入上传、远程文件包含(RFI)、FTP、通过后台提供的数据恢复等功能、数据库压缩等。
Webshell的通用功能包括但不限于shell命令执行、代码执行、数据库枚举和文件管理。

Webshell分类
根据shell所包含的功能可分为：大马、小马、一句话木马；根据脚本编程语言分类：jsp、asp、aspx、php、python、perl等。

Webshell检测

webshell通常是一个可执行脚本文件，对于Webshell的检测，静态文件的扫描检测是常见做法，但由于攻防技术的对抗发展和脚本语言的编码灵活性，静态文件的变形越来越多，已不足以满足检出率要求，于是出现了流量检测、运行时检测等方案。
下文详细介绍：

1 静态检测

静态文件检测是常规做法。文件静态扫描基于黑名单特征字符串、“高危函数”出现概率的组合，通常一个业务CGI(公用网关接口)文件，几乎不可能存在文件读写、命令执行、代码执行、DB操作文件上传几类函数同时出现的情况。
此方法最简单，但效果不佳。因为Webshell语法变化多远，变化灵活，变性后检测难度极大。常见特征如下：
1.1存在系统调用的命令执行函数，如eval、system、cmd_shell、assert、wScript.shell、shell.application、excute、run、shellexcute等；
1.2存在系统调用的文件操作函数，如fopen、fwrite、readdir等；
1.3存在数据库操作函数，调用系统自身的存储过程来连接数据库操作；
1.4具备很深的自身隐藏性、可伪装性，可长期潜伏到web源码中；
1.5衍生变种多，可通过自定义加解密函数、利用xor、字符串反转、压缩、截断重组等方法来绕过检测。

2 文件属性检测

通过对文件的特征进行检测：
2.1文件属主：是否为公司上线系统账户，非nginx\tomcat\nobody等应用账户；
2.2创建时间：正常文件生成时间应为上线时间或工作时间或与本路径下大部分文件一致，非此时间文件可能异常；
2.3Inode：文件为统一上传，文件的indoe应基本连续；
2.4路径：正常上传点应仅有业务所需要的文件格式，webshell文件不应出现在此路径。

3 流量(日志)检测

3.1传输特征：一些常见的webshell的http请求应该是固定的，可以通过cookie、http header、data、payload特征监测。
3.2源IP/UA特征：正常业务url将被频繁访问，webshell在一段时间内，仅被个别IP/UA访问。
3.3搜索引擎特征：正常业务url一般都有被搜索引擎爬取的痕迹。
3.4访问总量少。

4 动态监测

4.1RASP类：
由于webshell可以进行复制编码和灵活写法，静态检测遇到精心设计的免杀shell将很难匹配，RASP工作在执行层，opcode将还原webshell的意图。RASP日志将详细记录wenshell调用的Function和Param。危险的Function包括system、oppen、exec、passthru、move_upload_file、file_get_content、phpinfo。
4.2HIDS类：
webshell不如反弹的shell使用方便，黑客通常会使用反弹shell得到一个交互效果更好的shell，基于此特征，可以检测应用服务器用户nginx、tomcat、nobody等用户的进程，例如：ps -ef |grep nobody|grep -v php-cgi|grep-vnginx|grep -v grep。
另外，反弹shell进程的句柄(0\1)通常指向socket，或指向pipe。此思路也可以检测对抗性不强的反弹shell。
4.3机器学习：
通过机器学习算法归纳webshell特征，训练模型，与新webshell进行比对。例如：贝叶斯算法。

5 统计学检测

webshell由于往往经过了编码和加密，会表现出一些特别的统计特征，根据这些特征统计学习。目前网上说的比较多的是NeoPi提供五种检测方法：
5.1信息熵(Entropy):通过使用ASCII码表来衡量文件的不确定性;
5.2最长单词(LongestWord):最长的字符串也许潜在的被编码或被混淆;
5.3重合指数(Indexof Coincidence):低重合指数预示文件代码潜在的被加密或被混效过;
5.4特征(Signature):在文件中搜索已知的恶意代码字符串片段;
5.5压缩(Compression):对比文件的压缩比
采用这种检测方法也存在明显的弱点，NeoPi的检测重心在于识别混淆代码，它常常在识别模糊代码或者混淆编排的木马方面表现良好。未经模糊处理的代码webshell很难被NeoPi检测到。

6 一些常见的检测工具

名称	平台	链接	检测效果
D盾	(Windows)	http://www.d99net.net/
河马	（Windows&Linux）	https://www.shellpub.com/	样本检测量：1039
Linux Malware Detect	（Linux）	http://www.rfxn.com/projects/linux-malware-detect/
长亭牧云	（Linux）	https://github.com/chaitin/cloudwalker
ClamAV	（Windows&Linux）	https://www.clamav.net	样本检测量：432
shelldetect.py	（Python/PHP）	https://github.com/emposha/Shell-Detector