1、WEBSHELL檢查一.了解WebSHELL二.WebSHELL植入三.檢查工作原理四.檢查方法了解WebSHELL1.文件操作:復制文件、刪除文件、更改文件名、上傳文件、下載文件、文件瀏覽列表、文 件搜索、查看文件屬性等功能2.目錄操作: 刪除目錄、更改目錄名3.數(shù)據庫: 添加、查詢、刪除、更改、數(shù)據庫的連接、建立、壓縮4.網絡功能: 端口掃描5.注冊表操作:打開注冊表、讀取注冊表、刪除注冊表、寫入注冊表6.執(zhí)行應用程序: 如WScript.Shell7.查看系統(tǒng)信息功能: 查看本機IP（網卡信息）、系統(tǒng)用戶信息、系統(tǒng)環(huán)境變量、磁盤信息、8.Web 服 務 支 持 組 件 查 詢: ADOX

2、.Catalog 、wscript.shell 、Adodb.Stream 、Scripting.FileSystemObject9.掛馬功能等10.web 應用程序被加密: 使用常用的vbscrip.encode,、jscrip.encode、javascrip.encode、base64_decode、gzinflate、gzuncompress,str_rot13 等加密一些敏感代碼。11.其他系統(tǒng)敏感函數(shù)。WebSHELL植入1、 利用web 上傳業(yè)務，上傳webshell 腳本，上傳的目錄往往具有執(zhí)行權限，這個缺 陷很常見。2、 利用Web 業(yè)務的其他缺陷，例如存在SQL 注入缺陷，

3、植入Webshell 腳本。3、 攻陷Web 服務器系統(tǒng)，在web 服務目錄中上傳webshell 文件。檢查工作原理基礎事件: 檢測到的數(shù)據庫操作: 添加、查詢、刪除、更改相關函數(shù)檢測到數(shù)據庫操作語句檢測到執(zhí)行SQL 語句檢查工作原理基礎事件: 檢測到執(zhí)行應用程序操作: 如WScript.Shell、var.Run、shell_exec、exec 等 函數(shù)基礎事件檢測到使用wscript.shell 組件檢測到使用腳本使用ws.run 執(zhí)行文件基礎事件: 檢測到web 頁面被加密: 使用常用的vbscrip.encode,、jscrip.encode、javascrip.encode、bas

4、e64_decode、gzinflate、gzuncompress,str_rot13 等加密一些敏感代碼。檢測到使用vbscrip.encode 加密web 應用程序檢查工作原理檢查工作原理基礎事件: 檢測到其他系統(tǒng)敏感函數(shù)。 檢測到使用文件操作組件動態(tài)特征檢測 動態(tài)特征檢測是指webshell 已經上傳到web 服務器,在瀏覽器打開webshell 頁面時進行攔截，此時從網絡中檢測到的是web 應用程序被解釋執(zhí)行的代碼，此種方法最大的缺點就是漏報，只要攻擊者對webshell 稍作改動就輕易躲辟設備檢測，并且新的webshell 出來還要去更新這個庫,所以需要要維護的特征庫龐大檢查工作原理溯源1.確定是服務器or 個人機器2.服務器：查找所有網站域名和目錄；3.拷貝所有網站對應的日志信息4.拷貝服務器系統(tǒng)日志5.拷貝所有網站目錄的文件6.拷貝數(shù)據庫日志7.網站對應的數(shù)據庫和帳號密碼做記錄8.所有的3389鏈接信息做記錄9.所有的運行命令下拉菜單做記錄10.記錄網站登錄后臺以及帳號密碼11.分析被入侵痕跡以及入侵過程12.機器所有的帳號密碼明文和hash（如果有特殊帳號獲取帳號的創(chuàng)建時間，登錄時間，