CN107508829B - 一种非侵入式的webshell检测方法 - Google Patents
一种非侵入式的webshell检测方法 Download PDFInfo
- Publication number
- CN107508829B CN107508829B CN201710853571.3A CN201710853571A CN107508829B CN 107508829 B CN107508829 B CN 107508829B CN 201710853571 A CN201710853571 A CN 201710853571A CN 107508829 B CN107508829 B CN 107508829B
- Authority
- CN
- China
- Prior art keywords
- detection
- webshell
- detection platform
- website server
- platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及信息安全技术领域,旨在提供一种非侵入式的webshell检测方法。该种非侵入式的webshell检测方法包括步骤:远程登录、反向挂载、本地扫描、结果记录和策略库升级。本发明使网站主机和检查平台网络在逻辑上各自独立,检测平台本身对运行网站主机没有进行任何文件的增删和修改,也无需在网站服务器进行安装,运行的结果也不会对网站服务器产生任何影响,网站主机和检查平台完全独立,仅在检测过程中,网站主机使用检测实例对本地的文件进行检测,结果输出到挂载的检测平台上。
Description
技术领域
本发明是关于信息安全技术领域,特别涉及一种非侵入式的webshell检测方法。
背景技术
webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,对于黑客来说,它就是一种基于网页的后门。黑客成功入侵了一个网站之后,往往会将asp或php后门文件上传到网站服务器WEB目录下,和正常的网页文件混在一起,然后通过浏览器来访问asp或者php后门,得到一个命令执行环境,由此可以控制网站服务器。
WebShell后门具有隐蔽性,一般有隐藏在正常文件中并修改文件时间达到隐蔽的,还有利用服务器漏洞进行隐藏,如"..."目录就可以达到,站长从FTP(File TransferProtocol(文件传输协议))中找到的是含有“..”的文件夹,而且没有权限删除,还有一些隐藏的WEBSHELL,可以隐藏于正常文件带参数运行脚本后门。
webshell可以穿越服务器防火墙,由于与被控制的服务器或远程过80端口传递的,因此不会被防火墙拦截。恶意代码检测技术已经成为信息安全领域的一个重要方向,并且已经取得了非常多的研究成果。恶意代码的检测技术根据分析对象的不同主要分静态检测和动态检测两种,静态检测是对代码的文本特征进行分析,动态检测则是对代码执行行为的分析。
如上所述,检查webshell的方式就是在网站服务器本地运行检测程序进行动态或者静态检测,用来进行特征匹配,语法分析或者执行行为分析,传统的解决方案是由后台管理人员,将检查程序安装到目标网站,用人工或者自动化的的方式进行扫描,获取扫描结果,这种侵入到网站服务器的检测方式存在以下两个问题:
1、检测程序的升级问题:webshell更新传播速度很快,检测程序和特征库必须跟上webshell的更新和变化,因此需要经常性的升级,而在本地部署检测程序,对网络环境的依赖非常大,检测实例和特征库必须通过特定的网络和端口,使用在线升级的方式,从远端服务器进行升级。而网站主机的网络环境都比较复杂,为了保证安全,网站的管理经常采用防火墙,ACL进行限制。
2、对安装环境的影响:安装监测软件之后,会对生产环境产生影响,其中包括检测软件实例本身和其运行期间所产生的结果日志,很可能会干扰网站主机的正常工作,特别是在某些网站主机,会对文件更新时间进行检查,监测病毒的入侵,而检测软件本身会对这些行为产生干扰。
发明内容
本发明的主要目的在于克服现有技术中的不足,提供一种能隔离扫描程序和网站,非侵入式地解决扫描问题的webshell检测方法。为解决上述技术问题,本发明的解决方案是:
提供一种非侵入式的webshell检测方法,用于对网站服务器进行webshell检测,所述非侵入式的webshell检测方法具体包括下述步骤:
(1)远程登录:
当网站服务器运行在linux操作系统时,通过管理员手工配置,让检测平台获取网站服务器的ssh访问权限,检测平台通过ssh登录到网站服务器;
当网站服务器运行在windows操作系统时,检测平台通过telnet或者windows远程登录到网站服务器;
所述检测平台是非侵入式的webshell检测平台;检测平台和网站服务器都部署在机房内,属于机房可信区域,不会受到机房防火墙的访问限制;
(2)反向挂载:
当网站服务器运行在linux操作系统时,将检测平台挂载到网站服务器的某个目录(如/mnt);
当网站服务器运行在windows操作系统时,网站服务器通过使用smb或者nfs给检测平台分配一个盘符,反向挂载检测平台到网站服务器;
网站服务器就能(像本地的应用一样)使用检测平台提供的检测程序和检测平台提供的特征库(该特征库用于匹配webshell样本);
所述检测平台提供(nfs或者其他类似的)网络挂载服务;检测平台还提供检测实例程序,检测实例程序是指webshell检测实例程序,用于检测脚本中是否含有webshell恶意代码;
(3)本地扫描:
指定检测目录和策略后,运行检测平台提供的检测实例程序对网站服务器进行webshell恶意代码扫描(这里的运行方式可以参考大多数webshell的扫描程序),运行结果直接通过写本地文件的方式记录在检测平台(无需对网站服务器进行写操作和创建文件等操作);
(4)结果记录:
扫描结束后,网站服务器在本地卸载检测平台,检测平台也结束ssh会话,并将步骤(3)获得的运行结果在检测平台的本地存储;
(5)策略库升级:
根据安全策略(即指webshell检测程序实例所使用的恶意代码匹配样本),对策略库(即安全策略集合)进行离线升级或者在线升级。
在本发明中,所述步骤(4)结果记录中,webshell的检测结果在检测平台的本地存储后,能在本地或者上传云端进行分析(这个过程和网站服务完全没有关系)。
在本发明中,该非侵入式的webshell检测平台能远程连接到目标网站主机,并在远程网站主机反向挂载检测平台,运行检测实例。
在本发明中,webshell恶意样本的检测结果都直接保存在检测平台上,不会影响被检测的网站主机。
与现有技术相比,本发明的有益效果是:
1、网站主机和检查平台网络在逻辑上各自独立,检测平台本身对运行网站主机没有进行任何文件的增删和修改,也无需在网站服务器进行安装,运行的结果也不会对网站服务器产生任何影响,网站主机和检查平台完全独立,仅在检测过程中,网站主机使用检测实例对本地的文件进行检测,结果输出到挂载的检测平台上。
2、检测结束之后,检测程序会从网站主机上卸载,中间的ssh等连接也会断开,在网络层甚至物理上进行隔绝。
3、升级很方便,可以离线或者在线,检测平台任何升级或者变更行为不会影响网站主机安全。
4、可以做到并行检测,同时给IDC机房内的数千台网站主机进行检测;现有的webshell的检测往往需要对数万文件进行数百关键特征匹配,对CPU和内存要求都比较高,但采用本发明的方式,计算行为都是在各自网站主机上进行,检测服务器只负责承载检测实例以及汇总匹配结果,因此很容易做到分布式高并发。
5、通过使用本发明结果的汇集,有利于对检测结果进行集中化管控,对整体安全进行防护
具体实施方式
首先需要说明的是,本发明涉及远程访问、挂载技术的应用,是计算机技术的一种应用。在本发明的实现过程中,会涉及到多个软件功能模块的应用。申请人认为,如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后,在结合现有公知技术的情况下,本领域技术人员完全可以运用其掌握的软件编程技能实现本发明。凡本发明申请文件提及的均属此范畴,申请人不再一一列举。
下面结合具体实施方式对本发明作进一步详细描述:
假设要对IDC机房内的某一个网站主机进行webshell检测具体包括下述步骤:
步骤A:配置网站主机的远程登录方法,如通过ssh的用户密码登录或者ssh秘钥对进行免密登录。
步骤B:登录网站主机后,在网站主机内反向挂载检测平台,获得检测程序实例和平台上的磁盘工具。
如:mount-t nfs-o rw 192.168.0.80:/home/lyf/mnt/nfs
步骤C:运行检测程序实例,对网站主机的文件进行webshell静态扫描或者动态分析,结果记录在检测平台的磁盘空间。
如:/mnt/nfs/webshellChecker/opt/webapp–w/mnt/nfs/result.log
步骤D:检测完成后,卸载检测平台空间,检测平台断开远程连接。
如:umount/mnt/nfs
步骤E:检测平台独立检查结果文件,进行webshell分析。
最后,需要注意的是,以上列举的仅是本发明的具体实施例。显然,本发明不限于以上实施例,还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导出或联想到的所有变形,均应认为是本发明的保护范围。
Claims (4)
1.一种非侵入式的webshell检测方法,用于对网站服务器进行webshell检测,其特征在于,所述非侵入式的webshell检测方法具体包括下述步骤:
(1)远程登录:
当网站服务器运行在linux操作系统时,通过管理员手工配置,让检测平台获取网站服务器的ssh访问权限,检测平台通过ssh登录到网站服务器;
当网站服务器运行在windows操作系统时,检测平台通过telnet或者windows远程登录到网站服务器;
所述检测平台是非侵入式的webshell检测平台;检测平台和网站服务器都部署在机房内,属于机房可信区域,不会受到机房防火墙的访问限制;
(2)反向挂载:
当网站服务器运行在linux操作系统时,将检测平台挂载到网站服务器的某个目录;
当网站服务器运行在windows操作系统时,网站服务器通过使用smb或者nfs给检测平台分配一个盘符,反向挂载检测平台到网站服务器;
网站服务器就能使用检测平台提供的检测程序和检测平台提供的特征库;
所述检测平台提供网络挂载服务;检测平台还提供检测实例程序,检测实例程序是指webshell检测实例程序,用于检测脚本中是否含有webshell恶意代码;
(3)本地扫描:
指定检测目录和策略后,运行检测平台提供的检测实例程序对网站服务器进行webshell恶意代码扫描,运行结果直接通过写本地文件的方式记录在检测平台;
(4)结果记录:
扫描结束后,网站服务器在本地卸载检测平台,检测平台也结束ssh会话,并将步骤(3)获得的运行结果在检测平台的本地存储;
(5)策略库升级:
根据安全策略,对策略库进行离线升级或者在线升级。
2.根据权利要求1所述的一种非侵入式的webshell检测方法,其特征在于,所述步骤(4)结果记录中,webshell的检测结果在检测平台的本地存储后,能在本地或者上传云端进行分析。
3.根据权利要求1所述的一种非侵入式的webshell检测方法,其特征在于,该非侵入式的webshell检测平台能远程连接到目标网站主机,并在远程网站主机反向挂载检测平台,运行检测实例。
4.根据权利要求1所述的一种非侵入式的webshell检测方法,其特征在于,webshell恶意样本的检测结果都直接保存在检测平台上,不会影响被检测的网站主机。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710853571.3A CN107508829B (zh) | 2017-09-20 | 2017-09-20 | 一种非侵入式的webshell检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710853571.3A CN107508829B (zh) | 2017-09-20 | 2017-09-20 | 一种非侵入式的webshell检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107508829A CN107508829A (zh) | 2017-12-22 |
CN107508829B true CN107508829B (zh) | 2019-11-29 |
Family
ID=60698007
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710853571.3A Active CN107508829B (zh) | 2017-09-20 | 2017-09-20 | 一种非侵入式的webshell检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107508829B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110990839B (zh) * | 2019-11-22 | 2023-06-02 | 安徽三实信息技术服务有限公司 | 一种windows主机安全检查方法、装置和平台 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101378411A (zh) * | 2008-09-28 | 2009-03-04 | 深圳华为通信技术有限公司 | 移动终端、服务器及数据访问方法 |
CN104468477A (zh) * | 2013-09-16 | 2015-03-25 | 杭州迪普科技有限公司 | 一种WebShell的检测方法及系统 |
CN104765883A (zh) * | 2015-04-30 | 2015-07-08 | 中电运行(北京)信息技术有限公司 | 一种用于Webshell的检测方法 |
CN104967616A (zh) * | 2015-06-05 | 2015-10-07 | 北京安普诺信息技术有限公司 | 一种Web服务器中的WebShell文件的检测方法 |
CN106559484A (zh) * | 2016-11-14 | 2017-04-05 | 北京海誉动想科技股份有限公司 | 实例系统免安装运行应用的方法 |
CN106961419A (zh) * | 2017-02-13 | 2017-07-18 | 深信服科技股份有限公司 | WebShell检测方法、装置及系统 |
-
2017
- 2017-09-20 CN CN201710853571.3A patent/CN107508829B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101378411A (zh) * | 2008-09-28 | 2009-03-04 | 深圳华为通信技术有限公司 | 移动终端、服务器及数据访问方法 |
CN104468477A (zh) * | 2013-09-16 | 2015-03-25 | 杭州迪普科技有限公司 | 一种WebShell的检测方法及系统 |
CN104765883A (zh) * | 2015-04-30 | 2015-07-08 | 中电运行(北京)信息技术有限公司 | 一种用于Webshell的检测方法 |
CN104967616A (zh) * | 2015-06-05 | 2015-10-07 | 北京安普诺信息技术有限公司 | 一种Web服务器中的WebShell文件的检测方法 |
CN106559484A (zh) * | 2016-11-14 | 2017-04-05 | 北京海誉动想科技股份有限公司 | 实例系统免安装运行应用的方法 |
CN106961419A (zh) * | 2017-02-13 | 2017-07-18 | 深信服科技股份有限公司 | WebShell检测方法、装置及系统 |
Non-Patent Citations (1)
Title |
---|
窃密型WebShell检测方法;齐建军;《计算机与网络》;20150712;第38-39页 * |
Also Published As
Publication number | Publication date |
---|---|
CN107508829A (zh) | 2017-12-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10637882B2 (en) | Penetration testing of a networked system | |
CA2895957C (en) | Automated security assessment of business-critical systems and applications | |
US8171108B2 (en) | System and method for providing remote forensics capability | |
EP2145281B1 (en) | System, method and computer readable medium for providing network penetration testing | |
US20170324777A1 (en) | Injecting supplemental data into data queries at network end-points | |
Alosefer et al. | Honeyware: a web-based low interaction client honeypot | |
GB2507360A (en) | Threat detection through the accumulated detection of threat characteristics | |
Vibhandik et al. | Vulnerability assessment of web applications-a testing approach | |
KR102454948B1 (ko) | IoT 기기 점검 방법 및 그 장치 | |
KR102156379B1 (ko) | 정보수집 프로세스를 통한 에이전트리스 방식 취약점 진단시스템 및 그 방법 | |
US10848491B2 (en) | Automatically detecting a violation in a privileged access session | |
US20220159034A1 (en) | Method and system for determining an automated incident response | |
CN111967018A (zh) | 自动化检测Tomcat已知漏洞的方法 | |
Zamiri-Gourabi et al. | Gas what? I can see your GasPots. Studying the fingerprintability of ICS honeypots in the wild | |
CN107508829B (zh) | 一种非侵入式的webshell检测方法 | |
CN114499974A (zh) | 设备探测方法、装置、计算机设备和存储介质 | |
Buecker et al. | IT Security Compliance Management Design Guide with IBM Tivoli Security Information and Event Manager | |
Dorofeev et al. | Applied aspects of security testing | |
CN117333026A (zh) | 一种基于能源大数据的风险辨识方法 | |
Kim et al. | Involvers’ behavior-based modeling in cyber targeted attack | |
Leibolt | The complex world of corporate CyberForensics investigations | |
Mejri et al. | Cloud Security Issues and Log-based Proactive Strategy | |
CN115484174B (zh) | 基于智能识别的纳管方法、装置、设备及存储介质 | |
KR102493586B1 (ko) | 사용자별 독립적인 데이터 운용 및 유저 인터페이스 구성이 가능하고, 다층적인 다단계 보안이 적용된 엣지 컴퓨팅 시스템 | |
Daşdemir et al. | Evaluation of Most Visited E-Commerce Web Sites in Turkey in Aspects of Structure and Security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 310051 No. 188 Lianhui Street, Xixing Street, Binjiang District, Hangzhou City, Zhejiang Province Applicant after: Hangzhou Annan information technology Limited by Share Ltd Address before: Zhejiang Zhongcai Building No. 68 Binjiang District road Hangzhou City, Zhejiang Province, the 310051 and 15 layer Applicant before: Dbappsecurity Co.,ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |