趣能一姐
2
CISAW安全运维(专业级)
高级信息系统项目管理师
官方采纳
趣能一姐2
CISAW安全运维(专业级)
高级信息系统项目管理师
Web扫描/爬虫/google hack检测
基于知名或常用命名webshell的文件名
基于web日志的检测
部分webshel会讲操作的目标参数放在url参数中日志若可记录referer字段
基于文件属性的检测
基于文件创建日期的检测
设置文件的创建基准日期(用户附件目录除外)
以创建时间为线索进行搜索,基准日期后所有文件
文件最后修改日期
用于查找被插入到已有文件中的一句话木马
基于文件的MD5值检测
初始状态下设立安全基准值
安装状态下记录WEB目录结构并对目录中文件计算
基于文件内容的检测
基于关键字检测
黑客常用关键字
常用命令执行、文件操作函数
基于文件属性的检测
特殊目录中的特殊类型文件
用户可写入的目录
非用户可写入的文件类型
齐士忠
2
安全集成(专业级)SI/PL
CISAW安全运维(专业级)
齐士忠2
安全集成(专业级)SI/PL
CISAW安全运维(专业级)
1,日志检测 使用Webshell一般不会在系统日志中留下记录,但是会在网站的web日志中留下Webshell页面的访问数据和数据提交记录。日志分析检测技术通过大量的日志文件建立请求模型从而检测出异常文件。
2,语法检测 语法语义分析形式,是根据php语言扫描编译的实现方式,进行剥离代码、注释,分析变量、函数、字符串、语言结构的分析方式,来实现关键危险函数的捕捉方式。这样可以完美解决漏报的情况。但误报上,仍存在问题。
3,静态检测 静态检测通过匹配特征码,特征值,危险函数函数来查找webshell的方法,只能查找已知的webshell,并且误报率漏报率会比较高,但是如果规则完善,可以减低误报率,但是漏报率必定会有所提高。
4,动态检测 webshell传到服务器了,黑客总要去执行它吧,webshell执行时刻表现出来的特征,我们称为动态特征。先前我们说到过webshell通信是HTTP协议。
推荐文章
