一種本地模擬請(qǐng)求輔助查找webshell的方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種本地模擬請(qǐng)求輔助查找webshell的方法及系統(tǒng)，首先，讀取web服務(wù)器配置文件，獲取web服務(wù)器相關(guān)信息；所述相關(guān)信息包括：站點(diǎn)個(gè)數(shù)、路徑、域名或者端口號(hào)；依次遍歷站點(diǎn)下所有文件，篩選出網(wǎng)頁文件，并保存所述網(wǎng)頁文件的路徑信息；根據(jù)所述路徑信息，本地模擬請(qǐng)求，依次訪問所述網(wǎng)頁文件，獲取返回?cái)?shù)據(jù)；對(duì)返回?cái)?shù)據(jù)進(jìn)行特征掃描，并根據(jù)掃描結(jié)果生成檢測報(bào)告。本發(fā)明所述的方法對(duì)于加密的webshell也能有效檢測。
【專利說明】—種本地模擬請(qǐng)求輔助查找webshel I的方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全【技術(shù)領(lǐng)域】，尤其涉及一種本地模擬請(qǐng)求輔助查找webshell的方法及系統(tǒng)。
【背景技術(shù)】
[0002]webshell是以asp、php、jsp、cgi等網(wǎng)頁文件形式存在的一種命令執(zhí)行環(huán)境,也可以稱為一種網(wǎng)頁后門。入侵者在入侵網(wǎng)站后，經(jīng)常在WEB服務(wù)器的WEB目錄中放置webshell后門文件，且與WEB服務(wù)器WEB目錄下正常的網(wǎng)頁文件混在一起，不易被發(fā)現(xiàn)。入侵者可以用WEB方式訪問webshell得到命令執(zhí)行環(huán)境以達(dá)到控制網(wǎng)站或WEB服務(wù)器的目的，可進(jìn)行的操作包括上傳下載文件、查看數(shù)據(jù)庫、執(zhí)行任意程序命令等。webshell在WEB入侵中充當(dāng)著腳本攻擊工具的作用。
[0003]入侵者部署webshell后門的途徑有多種，例如直接上傳、私自添加修改上傳類型、利用WEB系統(tǒng)后臺(tái)管理功能、利用數(shù)據(jù)庫的備份、恢復(fù)、查詢功能、及其它各種方法。部署成功后入侵者便可通過網(wǎng)站端口對(duì)WEB服務(wù)器獲得某種程度上操作的權(quán)限等。
[0004]由于webshell與被控制的WEB服務(wù)器或遠(yuǎn)程主機(jī)交換的數(shù)據(jù)都是通過80端口傳遞的，因此不會(huì)被防火墻攔截。并且使用webshell —般不會(huì)在系統(tǒng)日志中留下記錄，只會(huì)在WEB服務(wù)器的日志中留下一些數(shù)據(jù)提交記錄，沒有經(jīng)驗(yàn)的管理員是很難看出入侵痕跡的。
[0005]目前大多數(shù)的webshell文件代碼進(jìn)行了加密，由此繞過了 WEB防火墻和防病毒軟件的查殺。隨著大量漏洞的不斷公開、多引擎掃描檢測引擎的成熟(例如virustotal多引擎掃描)方便了 webshell免殺的制作、加密技術(shù)的提高、各種繞過反病毒監(jiān)控系統(tǒng)的技術(shù)公布，使當(dāng)前webshell的查殺面臨著嚴(yán)峻的形勢。且傳統(tǒng)的檢測方法僅能查殺有限加密方式的webshell,攻擊者可以使用各類自定義的加密方式躲避查殺。

【發(fā)明內(nèi)容】

[0006]針對(duì)上述技術(shù)問題，本發(fā)明提供了一種本地模擬請(qǐng)求輔助查找webshell的方法及系統(tǒng)，該方法通過本地模擬請(qǐng)求訪問所有網(wǎng)頁文件，獲取返回?cái)?shù)據(jù)后，對(duì)返回?cái)?shù)據(jù)進(jìn)行特征檢測，從而識(shí)別webshell頁面,對(duì)于加密后的webshell頁面同樣可以有效識(shí)別。
[0007]本發(fā)明采用如下方法來實(shí)現(xiàn):一種本地模擬請(qǐng)求輔助查找webshell的方法，包括:
讀取web服務(wù)器配置文件，獲取web服務(wù)器相關(guān)信息；所述相關(guān)信息包括:站點(diǎn)個(gè)數(shù)、路徑、域名或者端口號(hào)；
依次遍歷站點(diǎn)下所有文件，篩選出網(wǎng)頁文件，并保存所述網(wǎng)頁文件的路徑信息；
根據(jù)所述路徑信息，本地模擬請(qǐng)求，依次訪問所述網(wǎng)頁文件，獲取返回?cái)?shù)據(jù)；
對(duì)返回?cái)?shù)據(jù)進(jìn)行特征掃描，并根據(jù)掃描結(jié)果生成檢測報(bào)告。
[0008]進(jìn)一步地,所述網(wǎng)頁文件包括asp、php、jsp或者cgi格式的網(wǎng)頁文件。[0009]進(jìn)一步地，所述對(duì)返回?cái)?shù)據(jù)進(jìn)行特征掃描所使用的特征為:獲取webshell的返回?cái)?shù)據(jù)，提取webshell明文字段作為特征。
[0010]進(jìn)一步地，所述對(duì)返回?cái)?shù)據(jù)進(jìn)行特征掃描所使用的特征為:對(duì)于具有登錄密碼的webshell，提取關(guān)鍵字段作為特征。
[0011]本發(fā)明采用如下系統(tǒng)來實(shí)現(xiàn):一種本地模擬請(qǐng)求輔助查找webshell的系統(tǒng)，包括:
相關(guān)信息獲取模塊，用于讀取web服務(wù)器配置文件，獲取web服務(wù)器相關(guān)信息；所述相關(guān)信息包括:站點(diǎn)個(gè)數(shù)、路徑、域名或者端口號(hào)；
頁面路徑獲取模塊，用于依次遍歷站點(diǎn)下所有文件，篩選出網(wǎng)頁文件，并保存所述網(wǎng)頁文件的路徑信息；
請(qǐng)求模擬模塊，用于根據(jù)所述路徑信息，本地模擬請(qǐng)求，依次訪問所述網(wǎng)頁文件，獲取返回?cái)?shù)據(jù)；
特征掃描模塊，用于對(duì)返回?cái)?shù)據(jù)進(jìn)行特征掃描，并根據(jù)掃描結(jié)果生成檢測報(bào)告。
[0012]進(jìn)一步地,所述網(wǎng)頁文件包括asp、php、jsp或者cgi格式的網(wǎng)頁文件。
[0013]進(jìn)一步地，所述對(duì)返回?cái)?shù)據(jù)進(jìn)行特征掃描所使用的特征為:獲取webshell的返回?cái)?shù)據(jù)，提取webshell明文字段作為特征。
[0014]進(jìn)一步地，所述對(duì)返回?cái)?shù)據(jù)進(jìn)行特征掃描所使用的特征為:對(duì)于具有登錄密碼的webshell，提取關(guān)鍵字段作為特征。
[0015]綜上所述，本發(fā)明提供了一種本地模擬請(qǐng)求輔助查找webshell的方法及系統(tǒng)，所述方法和系統(tǒng)主要通過獲取web服務(wù)器下的所有網(wǎng)頁文件的路徑信息，利用所述路徑信息模擬請(qǐng)求，從而訪問這些網(wǎng)頁文件，對(duì)于返回的明文數(shù)據(jù)進(jìn)行檢測，檢測所使用的特征是通過已知webshell的返回?cái)?shù)據(jù)提取明文字段，或者對(duì)于具有登錄密碼的webshell頁面，則提取其關(guān)鍵字段作為特征獲得的。上述技術(shù)方案可以有效克服現(xiàn)有方案對(duì)于加密的webshel I無法有效識(shí)別的缺陷。
【專利附圖】

【附圖說明】
[0016]為了更清楚地說明本發(fā)明的技術(shù)方案，下面將對(duì)實(shí)施例中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。
[0017]圖1為本發(fā)明提供的一種本地模擬請(qǐng)求輔助查找webshell的方法流程圖；
圖2為本發(fā)明提供的一種本地模擬請(qǐng)求輔助查找webshell的系統(tǒng)結(jié)構(gòu)圖。
【具體實(shí)施方式】
[0018]本發(fā)明給出了一種本地模擬請(qǐng)求輔助查找webshell的方法及系統(tǒng)，為了使本【技術(shù)領(lǐng)域】的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案，并使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂，下面結(jié)合附圖對(duì)本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明:
本發(fā)明首先提供了一種本地模擬請(qǐng)求輔助查找webshell的方法，如圖1所示，包括:
SlOl讀取web服務(wù)器配置文件，獲取web服務(wù)器相關(guān)信息；所述相關(guān)信息包括:站點(diǎn)個(gè)數(shù)、路徑、域名或者端口號(hào)；例如:baidu.com:81、baiduba.com: 8080等； Web服務(wù)器配置文件，可以通過遍歷注冊(cè)表查找HS、Apache等web服務(wù)器鍵值，通過鍵值內(nèi)容找到安裝路徑，再從安裝路徑中讀取web服務(wù)器排至文件，獲取站點(diǎn)路徑、站點(diǎn)個(gè)數(shù)、域名或者端口號(hào)等信息；
例如:Apache服務(wù)器默認(rèn)配置文件/etc/apache2/httpd.conf,解析出網(wǎng)站IP、端口、網(wǎng)站根目錄等信息。
[0019]S102依次遍歷站點(diǎn)下所有文件，篩選出網(wǎng)頁文件，并保存所述網(wǎng)頁文件的路徑信息；
S103根據(jù)所述路徑信息，本地模擬請(qǐng)求，依次訪問所述網(wǎng)頁文件，獲取返回?cái)?shù)據(jù)；
S104對(duì)返回?cái)?shù)據(jù)進(jìn)行特征掃描，并根據(jù)掃描結(jié)果生成檢測報(bào)告。
[0020]優(yōu)選地,所述網(wǎng)頁文件包括asp、php、jsp或者cgi格式的網(wǎng)頁文件。
[0021]優(yōu)選地，所述對(duì)返回?cái)?shù)據(jù)進(jìn)行特征掃描所使用的特征為:獲取webshell的返回?cái)?shù)據(jù)，提取webshell明文字段作為特征。所述明文字段包括:File Manager、CMD、SHELL、Process、文件管理、掃描、系統(tǒng)信息等字符串。
[0022]優(yōu)選地，所述對(duì)返回?cái)?shù)據(jù)進(jìn)行特征掃描所使用的特征為:對(duì)于具有登錄密碼的webshell，提取關(guān)鍵字段作為特征。
[0023]所述關(guān)鍵字段包括:〈inputname=”passtext”、type=”password”、id=”passtext”或〈input type=” hidden” name=”_VIEWSTATE”這類有密碼類型的文本控件。
[0024]本發(fā)明還提供了一種本地模擬請(qǐng)求輔助查找webshell的系統(tǒng)，如圖2所示，包括:
相關(guān)信息獲取模塊201，用于讀取web服務(wù)器配置文件，獲取web服務(wù)器相關(guān)信息；所述相關(guān)信息包括:站點(diǎn)個(gè)數(shù)、路徑、域名或者端口號(hào)；
頁面路徑獲取模塊202，用于依次遍歷站點(diǎn)下所有文件，篩選出網(wǎng)頁文件，并保存所述網(wǎng)頁文件的路徑信息；
請(qǐng)求模擬模塊203，用于根據(jù)所述路徑信息，本地模擬請(qǐng)求，依次訪問所述網(wǎng)頁文件，獲取返回?cái)?shù)據(jù)；
特征掃描模塊204，用于對(duì)返回?cái)?shù)據(jù)進(jìn)行特征掃描，并根據(jù)掃描結(jié)果生成檢測報(bào)告。
[0025]優(yōu)選地,所述網(wǎng)頁文件包括asp、php、jsp或者cgi格式的網(wǎng)頁文件。
[0026]優(yōu)選地，所述對(duì)返回?cái)?shù)據(jù)進(jìn)行特征掃描所使用的特征為:獲取webshell的返回?cái)?shù)據(jù)，提取webshell明文字段作為特征。
[0027]優(yōu)選地，所述對(duì)返回?cái)?shù)據(jù)進(jìn)行特征掃描所使用的特征為:對(duì)于具有登錄密碼的webshell，提取關(guān)鍵字段作為特征。
[0028]如上所述，本發(fā)明給出了一種本地模擬請(qǐng)求輔助查找webshell的方法及系統(tǒng)的具體實(shí)施例，其與傳統(tǒng)方法的區(qū)別在于，目前的多數(shù)技術(shù)方案對(duì)于加密的webshell都無法有效識(shí)別。本發(fā)明所給出的技術(shù)方案，通過讀取web服務(wù)器配置文件，從而獲取站點(diǎn)個(gè)數(shù)及路徑等信息，對(duì)于站點(diǎn)下的所有文件進(jìn)行篩選，找出所有的網(wǎng)頁文件，獲取網(wǎng)頁文件的路徑；利用訪問網(wǎng)頁文件，可以返回明文的特點(diǎn)，模擬請(qǐng)求，訪問所述網(wǎng)頁文件，對(duì)于返回?cái)?shù)據(jù)進(jìn)行特征掃描，從而可以有效識(shí)別webshell頁面,解決現(xiàn)有webshell加密變形從而無法查殺的問題。
[0029]以上實(shí)施例用以說明而非限制本發(fā)明的技術(shù)方案。不脫離本發(fā)明精神和范圍的任何修改或局部替換，均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。
【權(quán)利要求】
1.一種本地模擬請(qǐng)求輔助查找webshell的方法,其特征在于,包括: 讀取web服務(wù)器配置文件，獲取web服務(wù)器相關(guān)信息；所述相關(guān)信息包括:站點(diǎn)個(gè)數(shù)、路徑、域名或者端口號(hào)； 依次遍歷站點(diǎn)下所有文件，篩選出網(wǎng)頁文件，并保存所述網(wǎng)頁文件的路徑信息； 根據(jù)所述路徑信息，本地模擬請(qǐng)求，依次訪問所述網(wǎng)頁文件，獲取返回?cái)?shù)據(jù)； 對(duì)返回?cái)?shù)據(jù)進(jìn)行特征掃描，并根據(jù)掃描結(jié)果生成檢測報(bào)告。
2.如權(quán)利要求1所述的方法，其特征在于，所述網(wǎng)頁文件包括asp、php、jsp或者cgi格式的網(wǎng)頁文件。
3.如權(quán)利要求1所述的方法，其特征在于，所述對(duì)返回?cái)?shù)據(jù)進(jìn)行特征掃描所使用的特征為:獲取webshell的返回?cái)?shù)據(jù),提取webshell明文字段作為特征。
4.如權(quán)利要求1所述的方法，其特征在于，所述對(duì)返回?cái)?shù)據(jù)進(jìn)行特征掃描所使用的特征為:對(duì)于具有登錄密碼的webshell，提取關(guān)鍵字段作為特征。
5.—種本地模擬請(qǐng)求輔助查找webshell的系統(tǒng),其特征在于,包括: 相關(guān)信息獲取模塊，用于讀取web服務(wù)器配置文件，獲取web服務(wù)器相關(guān)信息；所述相關(guān)信息包括:站點(diǎn)個(gè)數(shù)、路徑、域名或者端口號(hào)； 頁面路徑獲取模塊，用于依次遍歷站點(diǎn)下所有文件，篩選出網(wǎng)頁文件，并保存所述網(wǎng)頁文件的路徑信息； 請(qǐng)求模擬模塊，用于根據(jù)所述路徑信息，本地模擬請(qǐng)求，依次訪問所述網(wǎng)頁文件，獲取返回?cái)?shù)據(jù)； 特征掃描模塊，用于對(duì)返回?cái)?shù)據(jù)進(jìn)行特征掃描，并根據(jù)掃描結(jié)果生成檢測報(bào)告。
6.如權(quán)利要求5所述的系統(tǒng),其特征在于,所述網(wǎng)頁文件包括asp、php、jsp或者cgi格式的網(wǎng)頁文件。
7.如權(quán)利要求5所述的系統(tǒng)，其特征在于，所述對(duì)返回?cái)?shù)據(jù)進(jìn)行特征掃描所使用的特征為:獲取webshell的返回?cái)?shù)據(jù),提取webshell明文字段作為特征。
8.如權(quán)利要求5所述的系統(tǒng)，其特征在于，所述對(duì)返回?cái)?shù)據(jù)進(jìn)行特征掃描所使用的特征為:對(duì)于具有登錄密碼的webshell，提取關(guān)鍵字段作為特征。
【文檔編號(hào)】H04L29/06GK103905422SQ201310691213
【公開日】2014年7月2日 申請(qǐng)日期:2013年12月17日 優(yōu)先權(quán)日:2013年12月17日
【發(fā)明者】劉佳男, 白淳升, 李柏松 申請(qǐng)人:哈爾濱安天科技股份有限公司