文档章节

网络安全分析 | 用OpenFEA定位WebShell木马后门

openfea
 openfea
发布于 2017/02/15 20:00
字数 1034
阅读 157
收藏 0

webshell是什么?它是以asp、PHP、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。黑客在入侵一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。

出于网站安全防护目的,网络安全分析专家们总是极力根据一些线索找到webshell,从而采取措施。但是,有防就有攻,黑客也会想尽一切办法去隐藏他的webshell,让安全专家找不到。黑客常用的隐藏方法跟检测方法相对应。比如,通过特征匹配的方式去发现webshell,黑客一般通过字符异或、回避、拆分、编码等方式绕过检测。

为了提高网络安全程度,OpenFEA开发了一个安全分析模型,帮助网络安全从业者进行webshell扫描,自查网站是否存在webshell等。

以下是我们运用此模型分析出的webshell URL、webshell 密码。

一、top 10的webshell URL

在某客户现场通过OpenFEA分析工具,对全网数据进行了提取分析,发现6例隐藏许久的webshell。对其他不存在(返回404等异常返回码)的webshell爬取行为进行解码、分析、统计,发现webshell爬取行为涉及的的url共计171个,图中取了top10进行展示:

在top10中,plus/90sec.php、plus/mytag_js.php、plus/ad_js.php、plus/laobiao.php、plus/e7xue.php、plus/spider.php、plus/mybak.php都与DEDE织梦系统有关系。

排名第三的/utility/convert/data/config.inc.php属于discuz系统。

二、登陆webshell使用的密码

登陆webshell使用的密码共计223个。

webshell密码中简单密码(位数低于六位,并且全部由数字或字母构成)占比很高,达到69%。

以上是运用基于OpenFEA构建的网络安全分析模型,得出的webshell URL、webshell 密码。看来起分析结果很强大吧,但得益于OpenFEA的支持,它的分析原理却异常简单。

通过采集大量webshell访问数据,主要采用对访问请求的特征与webshell访问行为模型结合匹配,来确定哪些访问属于webshell访问,再通过该请求对应的返回码,确定在系统中是否存在webshell。最终,对webshell访问请求中的post数据和url对象进行解析,对常见的webshell地址、常用密码进行了统计、总结。

如此强大的模型,由两部分组成:

一、访问行为模型

由url访问次数、访问规律、访问来源、页面、访问返回码等组成。

url访问次数:访问总量很少

访问规律:短期内规律,长期无规律,如下次访问可能在2个月后

访问来源:与访问业务的IP相比,webshell源IP非常集中

页面:孤链

访问返回码:200 OK

二、webshell扫描器访问行为模型

由url访问次数、访问规律、访问来源、页面、访问返回码等组成。

url访问次数:访问总量很少

访问规律:通常会访问多个url,并且只进行访问

访问来源:与访问业务的IP相比,webshell源IP非常集中

页面:孤链

访问返回码:404等异常状态

访问行为分析在大量访问日志下,对分析工具的处理能力要求很高,本次检测结果基于OpenFea大数据分析工具实现,需要文中涉及的webshell url和密码数据的亲们,请关注我们的微信公众号openfea,发送关键字“openfea”,将微信自动回复的文章“OpenFEA面授课程教学计划”转发到您的朋友圈后,将分享成功的截图发送至邮箱fea@hzhz.co即可获得,先到先得哦!

© 著作权归作者所有

openfea
粉丝 18
博文 86
码字总数 95615
作品 1
杭州
其他
私信 提问
用机器学习构建模型,进行信用卡反欺诈预测

本文通过利用信用卡的历史交易数据进行机器学习,构建信用卡反欺诈预测模型,提前发现客户信用卡被盗刷的事件。 1. 数据的下载和数据介绍 数据的下载地址为 https://www.kaggle.com/dalpozz...

openfea
2017/11/07
179
0
异常网络连接-可疑WebShell通信行为提示的解决办法

2018年10月27日接到新客户网站服务器被上传了webshell脚本木马后门问题的求助,对此我们sine安全公司针对此阿里云提示的安全问题进行了详细分析,ECS服务器被阿里云提示异常网络连接-可疑Web...

网站安全
2018/10/27
0
0
阿里云异常网络连接-可疑WebShell通信行为的分析解决办法

2018年10月27日接到新客户网站服务器被上传了webshell脚本木马后门问题的求助,对此我们sine安全公司针对此阿里云提示的安全问题进行了详细分析,ECS服务器被阿里云提示异常网络连接-可疑Web...

网站安全
2018/10/27
29
0
可视化大数据分析挖掘工具 - OpenFEA

一、简介 FEA是一站式大数据敏捷分析中间件,融合了内存计算、机器学习、交互分析、可视化分析等技术,涵盖数据收集、数据探索、构建模型、发布模型、可视化展示、分析门户等功能,无需复杂编...

openfea
2017/05/27
15.4K
8
OpenFEA —— 可视化大数据分析挖掘工具

FEA是一站式大数据敏捷分析中间件,融合了内存计算、机器学习、交互分析、可视化分析等技术,涵盖数据收集、数据探索、构建模型、发布模型、可视化展示、分析门户等功能,无需复杂编程即可快...

两味真火
2017/06/01
202
0

没有更多内容

加载失败,请刷新页面

加载更多

OSChina 周日乱弹 —— 别问,问就是没空

Osc乱弹歌单(2019)请戳(这里) 【今日歌曲】 @tom_tdhzz :#今日歌曲推荐# 分享容祖儿/彭羚的单曲《心淡》: 《心淡》- 容祖儿/彭羚 手机党少年们想听歌,请使劲儿戳(这里) @wqp0010 :周...

小小编辑
今天
259
5
golang微服务框架go-micro 入门笔记2.1 micro工具之micro api

micro api micro 功能非常强大,本文将详细阐述micro api 命令行的功能 重要的事情说3次 本文全部代码https://idea.techidea8.com/open/idea.shtml?id=6 本文全部代码https://idea.techidea8....

非正式解决方案
今天
5
0
Spring Context 你真的懂了吗

今天介绍一下大家常见的一个单词 context 应该怎么去理解,正确的理解它有助于我们学习 spring 以及计算机系统中的其他知识。 1. context 是什么 我们经常在编程中见到 context 这个单词,当...

Java知其所以然
昨天
5
0
Spring Boot + Mybatis-Plus 集成与使用(二)

前言: 本章节介绍MyBatis-Puls的CRUD使用。在开始之前,先简单讲解下上章节关于Spring Boot是如何自动配置MyBatis-Plus。 一、自动配置 当Spring Boot应用从主方法main()启动后,首先加载S...

伴学编程
昨天
8
0
用最通俗的方法讲spring [一] ──── AOP

@[TOC](用最通俗的方法讲spring [一] ──── AOP) 写这个系列的目的(可以跳过不看) 自己写这个系列的目的,是因为自己是个比较笨的人,我曾一度怀疑自己的智商不适合干编程这个行业.因为在我...

小贼贼子
昨天
8
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部