webshell是一種常用的網(wǎng)站后門(mén)工具，絕大多數(shù)黑客通過(guò)webshell長(zhǎng)期穩(wěn)定控制系統(tǒng)，對(duì)網(wǎng)絡(luò)中其他機(jī)器進(jìn)行攻擊；但webshell的隱患依然沒(méi)有受到足夠的重視。尤其是近年來(lái)，加密webshell因其流量加密而難以被傳統(tǒng)的WAF和IDS設(shè)備檢測(cè)出來(lái)而越來(lái)越流行，為安全監(jiān)控和管理工作帶來(lái)很大的挑戰(zhàn)。目前較為常見(jiàn)的動(dòng)態(tài)加密WebShell管理工具為冰蝎和蟻劍。

除常規(guī)webshell檢測(cè)外，盛邦安全網(wǎng)絡(luò)資產(chǎn)安全治理平臺(tái)RayGate已支持針對(duì)冰蝎2、冰蝎3（含冰蝎3.7特征檢測(cè)規(guī)則）和蟻劍的檢測(cè)。

webshell的危害

如果黑客成功在網(wǎng)站中植入了webshell，那么一個(gè)“魔盒”就被放置于網(wǎng)站之下，而開(kāi)啟它的“鑰匙”就掌握在黑客的手中。他們可以通過(guò)它，獲取服務(wù)器系統(tǒng)權(quán)限、控制“肉雞”發(fā)起DDos攻擊、篡改網(wǎng)站、網(wǎng)頁(yè)掛馬、作為用于隱藏自己的代理服務(wù)器、內(nèi)部掃描、植入暗鏈/黑鏈等進(jìn)行一系列攻擊行為。

webshell的常見(jiàn)檢測(cè)方法

靜態(tài)檢測(cè)：通過(guò)匹配特征碼、特征值、危險(xiǎn)函數(shù)來(lái)查找webshell，但只能查找已知的webshell。主流的檢測(cè)方法有關(guān)鍵字檢查（Keywords Matching）、審核代碼邏輯（Code Logic Review）等。

動(dòng)態(tài)檢測(cè)：webshell在執(zhí)行時(shí)表現(xiàn)出來(lái)的特征，我們稱(chēng)為動(dòng)態(tài)特征。主流的檢測(cè)方法有文件狀態(tài)對(duì)比（File Info Comparison）、運(yùn)行特征（Feature Matching）、訪問(wèn)行為檢測(cè)（Access Behavior）等。

兩種webshell檢測(cè)方法對(duì)比：

結(jié)合兩類(lèi)檢測(cè)方法的優(yōu)缺點(diǎn)，盛邦安全網(wǎng)絡(luò)資產(chǎn)安全治理平臺(tái)（RayGate）對(duì)webshell檢測(cè)進(jìn)行了兩點(diǎn)改善:

1、基于黑客行為進(jìn)行檢測(cè)，檢查黑客在目標(biāo)機(jī)器中進(jìn)行的操作；

2、選擇功能模塊特征和CSS樣式特征作為弱特征，對(duì)webshell進(jìn)行檢查，以降低漏報(bào)率和誤報(bào)率。

如何應(yīng)對(duì)webshell

為了有效而準(zhǔn)確地提供webshell檢測(cè)服務(wù)，從實(shí)時(shí)流量到主機(jī)系統(tǒng)，輔之以安全應(yīng)急響應(yīng)服務(wù)，盛邦安全推出了webshell檢測(cè)組合拳：

針對(duì)實(shí)時(shí)流量，推出治理平臺(tái)webshell檢測(cè)功能

可以基于時(shí)間進(jìn)行篩選，在疑似或者已經(jīng)發(fā)生風(fēng)險(xiǎn)的時(shí)間段內(nèi)進(jìn)行重點(diǎn)檢查，目前盛邦安全RayGate已經(jīng)支持對(duì)冰蝎2、冰蝎3（含冰蝎3.7特征檢測(cè)規(guī)則）以及蟻劍的檢測(cè)。

也可以從webshell的分類(lèi)和匹配特征維度進(jìn)行篩選，webshell的分類(lèi)主要包含：

√  探測(cè)（誰(shuí)在尋找網(wǎng)站上存在的后門(mén)）

√  疑似后門(mén)（網(wǎng)站上可能存在的后門(mén)）

√  已確定后門(mén)（確認(rèn)一定存在的后門(mén)）

匹配特征主要包括：

√ 上傳文件特征（根據(jù)上傳的文件是否包含網(wǎng)站后門(mén)的特征值進(jìn)行檢測(cè)）

√ 請(qǐng)求參數(shù)特征（根據(jù)webshell與黑客交互時(shí)候傳遞的特征參數(shù)進(jìn)行檢測(cè)）

√ 相應(yīng)頁(yè)面特征（根據(jù)黑客行為和指定頁(yè)面特征進(jìn)行檢測(cè)）

當(dāng)所有自定義服務(wù)均不開(kāi)啟時(shí)，設(shè)備自動(dòng)選擇默認(rèn)模式。在頁(yè)面展示上，具體頁(yè)面如下：

7*24小時(shí)的專(zhuān)業(yè)安全應(yīng)急響應(yīng)服務(wù)保障

針對(duì)用戶(hù)應(yīng)急響應(yīng)技術(shù)支持的需求，盛邦安全組建了專(zhuān)業(yè)的應(yīng)急響應(yīng)高級(jí)技術(shù)支持服務(wù)團(tuán)隊(duì)，并和現(xiàn)場(chǎng)故障處理服務(wù)團(tuán)隊(duì)、遠(yuǎn)程互聯(lián)網(wǎng)站安全監(jiān)控團(tuán)隊(duì)、檢查評(píng)估團(tuán)隊(duì)進(jìn)行聯(lián)動(dòng)，通過(guò)電話支持、即時(shí)郵件、遠(yuǎn)程支持和現(xiàn)場(chǎng)支持等方式為用戶(hù)提供全方位、7×24小時(shí)的遠(yuǎn)程和現(xiàn)場(chǎng)應(yīng)急響應(yīng)服務(wù)，包括：應(yīng)急響應(yīng)體系建設(shè)、現(xiàn)場(chǎng)和遠(yuǎn)程應(yīng)急響應(yīng)技術(shù)支持、事后分析和安全加固、協(xié)助用戶(hù)組織應(yīng)急演練等。