本發(fā)明涉及信息安全技術領域，旨在提供一種非侵入式的webshell檢測方法。該種非侵入式的webshell檢測方法包括步驟：遠程登錄、反向掛載、本地掃描、結果記錄和策略庫升級。本發(fā)明使網站主機和檢查平臺網絡在邏輯上各自獨立，檢測平臺本身對運行網站主機沒有進行任何文件的增刪和修改，也無需在網站服務器進行安裝，運行的結果也不會對網站服務器產生任何影響，網站主機和檢查平臺完全獨立，僅在檢測過程中，網站主機使用檢測實例對本地的文件進行檢測，結果輸出到掛載的檢測平臺上。

技術領域

本發(fā)明是關于信息安全技術領域，特別涉及一種非侵入式的webshell檢測方法。

背景技術

webshell是以asp、php、jsp或者cgi等網頁文件形式存在的一種命令執(zhí)行環(huán)境，對于黑客來說，它就是一種基于網頁的后門。黑客成功入侵了一個網站之后，往往會將asp或php后門文件上傳到網站服務器WEB目錄下，和正常的網頁文件混在一起，然后通過瀏覽器來訪問asp或者php后門，得到一個命令執(zhí)行環(huán)境，由此可以控制網站服務器。

WebShell后門具有隱蔽性，一般有隱藏在正常文件中并修改文件時間達到隱蔽的，還有利用服務器漏洞進行隱藏，如...目錄就可以達到，站長從FTP(File TransferProtocol(文件傳輸協議))中找到的是含有“..”的文件夾，而且沒有權限刪除，還有一些隱藏的WEBSHELL，可以隱藏于正常文件帶參數運行腳本后門。

webshell可以穿越服務器防火墻，由于與被控制的服務器或遠程過80端口傳遞的，因此不會被防火墻攔截。惡意代碼檢測技術已經成為信息安全領域的一個重要方向，并且已經取得了非常多的研究成果。惡意代碼的檢測技術根據分析對象的不同主要分靜態(tài)檢測和動態(tài)檢測兩種，靜態(tài)檢測是對代碼的文本特征進行分析，動態(tài)檢測則是對代碼執(zhí)行行為的分析。

如上所述，檢查webshell的方式就是在網站服務器本地運行檢測程序進行動態(tài)或者靜態(tài)檢測，用來進行特征匹配，語法分析或者執(zhí)行行為分析，傳統(tǒng)的解決方案是由后臺管理人員，將檢查程序安裝到目標網站，用人工或者自動化的的方式進行掃描，獲取掃描結果，這種侵入到網站服務器的檢測方式存在以下兩個問題：

1、檢測程序的升級問題：webshell更新傳播速度很快，檢測程序和特征庫必須跟上webshell的更新和變化，因此需要經常性的升級，而在本地部署檢測程序，對網絡環(huán)境的依賴非常大，檢測實例和特征庫必須通過特定的網絡和端口，使用在線升級的方式，從遠端服務器進行升級。而網站主機的網絡環(huán)境都比較復雜，為了保證安全，網站的管理經常采用防火墻，ACL進行限制。

2、對安裝環(huán)境的影響：安裝監(jiān)測軟件之后，會對生產環(huán)境產生影響，其中包括檢測軟件實例本身和其運行期間所產生的結果日志，很可能會干擾網站主機的正常工作，特別是在某些網站主機，會對文件更新時間進行檢查，監(jiān)測病毒的入侵，而檢測軟件本身會對這些行為產生干擾。

發(fā)明內容

本發(fā)明的主要目的在于克服現有技術中的不足，提供一種能隔離掃描程序和網站，非侵入式地解決掃描問題的webshell檢測方法。為解決上述技術問題，本發(fā)明的解決方案是：

提供一種非侵入式的webshell檢測方法，用于對網站服務器進行webshell檢測，所述非侵入式的webshell檢測方法具體包括下述步驟：

(1)遠程登錄：

當網站服務器運行在linux操作系統(tǒng)時，通過管理員手工配置，讓檢測平臺獲取網站服務器的ssh訪問權限，檢測平臺通過ssh登錄到網站服務器；

當網站服務器運行在windows操作系統(tǒng)時，檢測平臺通過telnet或者windows遠程登錄到網站服務器；

所述檢測平臺是非侵入式的webshell檢測平臺；檢測平臺和網站服務器都部署在機房內，屬于機房可信區(qū)域，不會受到機房防火墻的訪問限制；