網絡安全分析 | 用OpenFEA定位WebShell木馬後門

webshell是什麼？它是以asp、PHP、jsp或者cgi等網頁文件形式存在的一種命令執行環境，也能夠將其稱作爲一種網頁後門。黑客在入侵一個網站後，一般會將asp或php後門文件與網站服務器WEB目錄下正常的網頁文件混在一塊兒，而後就可使用瀏覽器來訪問asp或者php後門，獲得一個命令執行環境，以達到控制網站服務器的目的。

出於網站安全防禦目的，網絡安全分析專家們老是極力根據一些線索找到webshell，從而採起措施。可是，有防就有攻，黑客也會想盡一切辦法去隱藏他的webshell，讓安全專家找不到。黑客經常使用的隱藏方法跟檢測方法相對應。好比，經過特徵匹配的方式去發現webshell，黑客通常經過字符異或、迴避、拆分、編碼等方式繞過檢測。

爲了提升網絡安全程度，OpenFEA開發了一個安全分析模型，幫助網絡安全從業者進行webshell掃描，自查網站是否存在webshell等。

如下是咱們運用此模型分析出的webshell URL、webshell 密碼。

1、top 10的webshell URL

在某客戶現場經過OpenFEA分析工具，對全網數據進行了提取分析，發現6例隱藏許久的webshell。對其餘不存在（返回404等異常返回碼）的webshell爬取行爲進行解碼、分析、統計，發現webshell爬取行爲涉及的的url共計171個，圖中取了top10進行展現：

在top10中，plus/90sec.php、plus/mytag_js.php、plus/ad_js.php、plus/laobiao.php、plus/e7xue.php、plus/spider.php、plus/mybak.php都與DEDE織夢繫統有關係。

排名第三的/utility/convert/data/config.inc.php屬於discuz系統。

2、登錄webshell使用的密碼

登錄webshell使用的密碼共計223個。

webshell密碼中簡單密碼（位數低於六位，而且所有由數字或字母構成）佔比很高，達到69%。

以上是運用基於OpenFEA構建的網絡安全分析模型，得出的webshell URL、webshell 密碼。看來起分析結果很強大吧，但得益於OpenFEA的支持，它的分析原理卻異常簡單。

經過採集大量webshell訪問數據，主要採用對訪問請求的特徵與webshell訪問行爲模型結合匹配，來肯定哪些訪問屬於webshell訪問，再經過該請求對應的返回碼，肯定在系統中是否存在webshell。最終，對webshell訪問請求中的post數據和url對象進行解析，對常見的webshell地址、經常使用密碼進行了統計、總結。

如此強大的模型，由兩部分組成：

1、訪問行爲模型

由url訪問次數、訪問規律、訪問來源、頁面、訪問返回碼等組成。

url訪問次數：訪問總量不多

訪問規律：短時間內規律，長期無規律，以下次訪問可能在2個月後

訪問來源：與訪問業務的IP相比，webshell源IP很是集中

頁面：孤鏈

訪問返回碼：200 OK

2、webshell掃描器訪問行爲模型

由url訪問次數、訪問規律、訪問來源、頁面、訪問返回碼等組成。

url訪問次數：訪問總量不多

訪問規律：一般會訪問多個url，而且只進行訪問

訪問來源：與訪問業務的IP相比，webshell源IP很是集中

頁面：孤鏈

訪問返回碼：404等異常狀態

訪問行爲分析在大量訪問日誌下，對分析工具的處理能力要求很高，本次檢測結果基於OpenFea大數據分析工具實現，須要文中涉及的webshell url和密碼數據的親們，請關注咱們的微信公衆號openfea，發送關鍵字「openfea」，將微信自動回覆的文章「OpenFEA面授課程教學計劃」轉發到您的朋友圈後，將分享成功的截圖發送至郵箱fea@hzhz.co便可得到，先到先得哦！