[發(fā)明專利]一種本地模擬請求輔助查找webshell的方法及系統(tǒng)有效
| 申請?zhí)枺?/td> | 201310691213.9 | 申請日: | 2013-12-17 |
| 公開(公告)號: | CN103905422A | 公開(公告)日: | 2014-07-02 |
| 發(fā)明(設(shè)計)人: | 劉佳男;白淳升;李柏松 | 申請(專利權(quán))人: | 哈爾濱安天科技股份有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 暫無信息 | 代理人: | 暫無信息 |
| 地址: | 150090 黑龍江省哈爾濱*** | 國省代碼: | 黑龍江;23 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 本地 模擬 請求 輔助 查找 webshell 方法 系統(tǒng) | ||
技術(shù)領(lǐng)域
本發(fā)明涉及信息安全技術(shù)領(lǐng)域,尤其涉及一種本地模擬請求輔助查找webshell的方法及系統(tǒng)。
背景技術(shù)
webshell是以asp、php、jsp、cgi等網(wǎng)頁文件形式存在的一種命令執(zhí)行環(huán)境,也可以稱為一種網(wǎng)頁后門。入侵者在入侵網(wǎng)站后,經(jīng)常在WEB服務(wù)器的WEB目錄中放置webshell后門文件,且與WEB服務(wù)器WEB目錄下正常的網(wǎng)頁文件混在—起,不易被發(fā)現(xiàn)。入侵者可以用WEB方式訪問webshell得到命令執(zhí)行環(huán)境以達到控制網(wǎng)站或WEB服務(wù)器的目的,可進行的操作包括上傳下載文件、查看數(shù)據(jù)庫、執(zhí)行任意程序命令等。webshell在WEB入侵中充當(dāng)著腳本攻擊工具的作用。
入侵者部署webshell后門的途徑有多種,例如直接上傳、私自添加修改上傳類型、利用WEB系統(tǒng)后臺管理功能、利用數(shù)據(jù)庫的備份、恢復(fù)、查詢功能、及其它各種方法。部署成功后入侵者便可通過網(wǎng)站端口對WEB服務(wù)器獲得某種程度上操作的權(quán)限等。
由于webshell與被控制的WEB服務(wù)器或遠程主機交換的數(shù)據(jù)都是通過80端口傳遞的,因此不會被防火墻攔截。并且使用webshell一般不會在系統(tǒng)日志中留下記錄,只會在WEB服務(wù)器的日志中留下一些數(shù)據(jù)提交記錄,沒有經(jīng)驗的管理員是很難看出入侵痕跡的。
目前大多數(shù)的webshell文件代碼進行了加密,由此繞過了WEB防火墻和防病毒軟件的查殺。隨著大量漏洞的不斷公開、多引擎掃描檢測引擎的成熟(例如virustotal多引擎掃描)方便了webshell免殺的制作、加密技術(shù)的提高、各種繞過反病毒監(jiān)控系統(tǒng)的技術(shù)公布,使當(dāng)前webshell的查殺面臨著嚴峻的形勢。且傳統(tǒng)的檢測方法僅能查殺有限加密方式的webshell,攻擊者可以使用各類自定義的加密方式躲避查殺。
發(fā)明內(nèi)容
針對上述技術(shù)問題,本發(fā)明提供了一種本地模擬請求輔助查找webshell的方法及系統(tǒng),該方法通過本地模擬請求訪問所有網(wǎng)頁文件,獲取返回數(shù)據(jù)后,對返回數(shù)據(jù)進行特征檢測,從而識別webshell頁面,對于加密后的webshell頁面同樣可以有效識別。
本發(fā)明采用如下方法來實現(xiàn):一種本地模擬請求輔助查找webshell的方法,包括:
讀取web服務(wù)器配置文件,獲取web服務(wù)器相關(guān)信息;所述相關(guān)信息包括:站點個數(shù)、路徑、域名或者端口號;
依次遍歷站點下所有文件,篩選出網(wǎng)頁文件,并保存所述網(wǎng)頁文件的路徑信息;
根據(jù)所述路徑信息,本地模擬請求,依次訪問所述網(wǎng)頁文件,獲取返回數(shù)據(jù);
對返回數(shù)據(jù)進行特征掃描,并根據(jù)掃描結(jié)果生成檢測報告。
進一步地,所述網(wǎng)頁文件包括asp、php、jsp或者cgi格式的網(wǎng)頁文件。
進一步地,所述對返回數(shù)據(jù)進行特征掃描所使用的特征為:獲取webshell的返回數(shù)據(jù),提取webshell明文字段作為特征。
進一步地,所述對返回數(shù)據(jù)進行特征掃描所使用的特征為:對于具有登錄密碼的webshell,提取關(guān)鍵字段作為特征。
本發(fā)明采用如下系統(tǒng)來實現(xiàn):一種本地模擬請求輔助查找webshell的系統(tǒng),包括:
相關(guān)信息獲取模塊,用于讀取web服務(wù)器配置文件,獲取web服務(wù)器相關(guān)信息;所述相關(guān)信息包括:站點個數(shù)、路徑、域名或者端口號;
頁面路徑獲取模塊,用于依次遍歷站點下所有文件,篩選出網(wǎng)頁文件,并保存所述網(wǎng)頁文件的路徑信息;
請求模擬模塊,用于根據(jù)所述路徑信息,本地模擬請求,依次訪問所述網(wǎng)頁文件,獲取返回數(shù)據(jù);
特征掃描模塊,用于對返回數(shù)據(jù)進行特征掃描,并根據(jù)掃描結(jié)果生成檢測報告。
進一步地,所述網(wǎng)頁文件包括asp、php、jsp或者cgi格式的網(wǎng)頁文件。
進一步地,所述對返回數(shù)據(jù)進行特征掃描所使用的特征為:獲取webshell的返回數(shù)據(jù),提取webshell明文字段作為特征。
進一步地,所述對返回數(shù)據(jù)進行特征掃描所使用的特征為:對于具有登錄密碼的webshell,提取關(guān)鍵字段作為特征。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于哈爾濱安天科技股份有限公司,未經(jīng)哈爾濱安天科技股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201310691213.9/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
