当前位置:首页 > 网络安全 > 正文内容

Webshell安全检测篇(1)-根据流量的检测方法

访客16年前 (2009-02-10)网络安全955

一、概述

笔者一直在重视webshell的安全剖析,最近就这段时刻的心得体会和咱们做个共享。

webshell一般有三种检测办法:

依据流量方法 依据agent方法(本质是直接剖析webshell文件) 依据日志剖析方法

Webshell的分类笔者总结如下:

前段时刻因为作业的需求完结了一个Webshell检测体系,依据其时的需求写了一篇关于运用依据Agent模型和依据日志剖析模型来检测服务器上的文件是否是Webshell的文章,

原文可以拜见:http://www.sec-un.org/ideas-like-article-espionage-webshell-method.html

二、依据流量的webshell检测考虑

   在研讨了上述两种模型的检测之后就考虑能否在网络流量上完结Webshell剖析和检测。毕竟要完结Agent模型和日志剖析模型需求的本钱太大不只要考虑兼容性问题还需求考虑性能及安全性的问题,而假如选用流量(网关)型检测的话本钱和布置难度会减小许多,所以有了此文依据流量(网关型)的Webshell检测办法。
   要完结经过网络流量检测Webshell首要就需求对流量进行“可视化”,“可视化”的办法有许多可以学习现在市场上一些老练的结构来完结这儿就不再多述。咱们首要评论在Webshell被上传到服务器及Webshell在拜访过程中网络流量中发生的payload来完结Webshell检测。

三、上传过程中的Payload

咱们知道正常的网站在有需求的情况下一般会答应上传一些“无害”的文件可是不会答应上传以脚本文件方法存在的文件例如:PHP、ASP、JSP等,而Webshell就是以这种脚本文件的方法存在而且被服务器解析的。在上传过程中尽管不会呈现一些进犯payload。可是要向服务器上传文件所以也会发生一些和上传相关的Payload。下面咱们评论一下常见的两种上传的Webshell的方法即上传“大马”和“小马”。

2.1、上传“大马”

   这种办法经过POST直接上传一个Webshell文件或许经过简略的变形然后上传到服务器上,如下面的一个比如:
2009-02-10 06:32:58 W3SVC77065997 XXXX.XXXX.XXXX.XXXX POST /lesson_manage/upload/40/ASP.asp – 80 – XXXX.XXXX.XXXX.XXXX Mozilla/4.0+compatible;+MSIE+6.0; 200 0 0
    从上面这条拜访记载中可以发现如下要害特:POST upload ASP.asp 200 经过这几个要害特征的就可以剖分出ASP.php可能是一个疑似Webshell。

2.2、上传“小马”

    在不能直接上传“大马”Webshell的情况下黑客一般会上传一个“小马”以帮忙完结上传“大马”或许上传一句话Webshell并合作一个客户端完结操控服务器,这儿咱们也不评论怎么上传“小马”以及一句话Webshell。咱们只评论怎么运用“小马”来上传“大马”。
这种办法的特别点在于不是一个完好的文件在网络中中传输而是一个存在于HTTP协议中的一个参数在网络中传输,传输参数的办法既可能是GET也可能是POST,咱们来看下面一个实在的比如:

   在上图中咱们不难发现这显然是运用一句话木马客户端经过POST的方法正在上传一个Webshell的脚本代码,而且将内容写入一句话木马相同目录下的一个body.asp的文件傍边,然后完结上传“大马”。在截取到的流量数据中可以发现,如:act= body.asp value=Execute 等payload,经过在检测这些payload就可以在上传的过程中剖析Webshell及其行为。

四、拜访过程中的Payload

   因为Webshell是被制造用来操控服务器或许盗取秘要信息的,要完结这些才能进犯者就必须向Webshell发送一些操控指令然后操作Webshell。在操控指令中一般包括特征显着的进犯payload。咱们来调查一下如下几种payload:

   上图中显然是Webshell正在企图衔接网站的数据库,而且进犯者运用的是POST的办法向Webshell提交衔接参数,其间可以发现的payload有:action=sqladmin dbhost=localhost
dbport=3306 dbuser=root dbpass=1qaz2wsx connect=connect 等。

    咱们再看一个由闻名一句话Webshell管理工具“菜刀”长途操控“菜刀马”并宣布的指令的流量数据:

 从上图中看出“菜刀”运用了base64的办法加密了发送给“菜刀马”的指令,经过剖析咱们可以调查到其间的两个要害payload z1和z2。

[1] [2]  黑客接单网

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/106061.html

分享给朋友:

“Webshell安全检测篇(1)-根据流量的检测方法” 的相关文章

【紧急+重要】勒索病毒解决方案!附:MS17-010补丁下载

  滚动更新:2017年5月13日16:57:22   游侠安全网(良心网站,站长先贴上注意事项和解决方法!防止你看本文的时候就被加密了!   1、本次共计是自动化攻击,利用了Windows的MS17-010。但苹果的MacOS用户不用得意,因为在昨晚之前,我这里得到的好几起勒索攻击案例都是针对...

干洗对衣物有害吗

干洗对衣物有害吗 干洗剂实际上就是有机溶剂,所以对衣服多少都有点危害,只不过高级的干洗剂对衣服损伤小一些而已。 随着人们工作的繁忙和生活节奏的加快,现代人更多地把换下的衣物送到洗衣店干洗,以保证衣服不变形和有更多的时间休闲娱乐,这本是一件提高生活品质的好事,但据最新的研究显示,干洗衣物对身...

尚村最新水貂皮毛价格,丹麦貂皮衣大概多少钱

样子单女款大概貂皮在8000,014-3-24河北尚村蓝狐皮价格,不过价格一般比较高的啊,这个就要看品牌的了,多看看,我要打印IE收藏放入公文包我要留言查看留言文章来源:中国皮草网添加,60公分6000左右,水貂皮大衣最新价格有木有,这个主要看质量了,水貂皮草大衣真假看皮面:如果是真毛。 元/张,5...

黄埔燃料油现货价格_今日燃料油市场价格

这句话是指期货比现货价格高100元吗,柴油,1%的权重都没有,通过技术指标和消息面影响来分析的。有的有点差,点88 国际燃料油收盘价涨跌新加坡。244点5 国内燃料油,燃料油,作为成品油的一种,屈居第二位,有的高点有的低一点,2。97#汽油5点38元/价格升,在原油的加工过程中,常关注的消息为OPE...

二手路虎极光 「2015路虎极光二手车报价」

样子车而已论性能都有点给路2015虎家族丢脸了感觉如果选择这车还真不如选择霸道VX顶配69万那款实惠推荐其他车的话途锐很好Q7虽然多了点但是很值得考虑一下的这个价位如果讨论轿车的话上不了A8L和,公里数等。火烧。 二手车价格:41点00万,2013极光款2点0T AT圣诞限量版,车子没有。 2015...

评论列表

忿咬晴枙
3年前 (2022-05-28)

一、概述笔者一直在重视webshell的安全剖析,最近就这段时刻的心得体会和咱们做个共享。webshell一般有三种检测办法: 依据流量方法 依据agent方法(本质是直接剖析webshell文件) 依据日志剖析方法Webshell的分类笔者总结如下:前段时刻因为作业的需求完结了

竹祭雾夕
3年前 (2022-05-28)

并宣布的指令的流量数据: 从上图中看出“菜刀”运用了base64的办法加密了发送给“菜刀马”的指令,经过剖析咱们可以调查到其间的两个要害payload z1和z2。[1] [

夙世沐白
3年前 (2022-05-28)

的一个参数在网络中传输,传输参数的办法既可能是GET也可能是POST,咱们来看下面一个实在的比如:   在上图中咱们不难发现这显然是运用一句话木马客户端经过POST的方法正在上传一个Webshell的脚本

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。