怎么檢查 webshell

46 聲望最佳答案

CISAW安全運維(專業級) 高級信息系統項目管理師

最佳答案

基于知名或常用命名webshell的文件名

部分webshel會講操作的目標參數放在url參數中日志若可記錄referer字段

基于文件創建日期的檢測
設置文件的創建基準日期(用戶附件目錄除外)
以創建時間為線索進行搜索,基準日期后所有文件
文件最后修改日期
用于查找被插入到已有文件中的一句話木馬
基于文件的MD5值檢測
初始狀態下設立安全基準值
安裝狀態下記錄WEB目錄結構并對目錄中文件計算

基于關鍵字檢測
黑客常用關鍵字
常用命令執行、文件操作函數
基于文件屬性的檢測
特殊目錄中的特殊類型文件
用戶可寫入的目錄
非用戶可寫入的文件類型

回答所涉及的環境：聯想天逸510S、Windows 10。

2年前 / 評論

回答數量: 2

安全集成（專業級）SI/PL CISAW安全運維(專業級)

1，日志檢測使用Webshell一般不會在系統日志中留下記錄，但是會在網站的web日志中留下Webshell頁面的訪問數據和數據提交記錄。日志分析檢測技術通過大量的日志文件建立請求模型從而檢測出異常文件。

2，語法檢測語法語義分析形式，是根據php語言掃描編譯的實現方式，進行剝離代碼、注釋，分析變量、函數、字符串、語言結構的分析方式，來實現關鍵危險函數的捕捉方式。這樣可以完美解決漏報的情況。但誤報上，仍存在問題。

3，靜態檢測靜態檢測通過匹配特征碼，特征值，危險函數函數來查找webshell的方法，只能查找已知的webshell，并且誤報率漏報率會比較高，但是如果規則完善，可以減低誤報率，但是漏報率必定會有所提高。

4，動態檢測 webshell傳到服務器了，黑客總要去執行它吧，webshell執行時刻表現出來的特征，我們稱為動態特征。先前我們說到過webshell通信是HTTP協議。

回答所涉及的環境：聯想天逸510S、Windows 10。

2年前 / 評論