网络安全分析 | 用OpenFEA定位WebShell木马后门

原创
2017/02/15 20:00
阅读数 285

webshell是什么?它是以asp、PHP、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。黑客在入侵一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。

出于网站安全防护目的,网络安全分析专家们总是极力根据一些线索找到webshell,从而采取措施。但是,有防就有攻,黑客也会想尽一切办法去隐藏他的webshell,让安全专家找不到。黑客常用的隐藏方法跟检测方法相对应。比如,通过特征匹配的方式去发现webshell,黑客一般通过字符异或、回避、拆分、编码等方式绕过检测。

为了提高网络安全程度,OpenFEA开发了一个安全分析模型,帮助网络安全从业者进行webshell扫描,自查网站是否存在webshell等。

以下是我们运用此模型分析出的webshell URL、webshell 密码。

一、top 10的webshell URL

在某客户现场通过OpenFEA分析工具,对全网数据进行了提取分析,发现6例隐藏许久的webshell。对其他不存在(返回404等异常返回码)的webshell爬取行为进行解码、分析、统计,发现webshell爬取行为涉及的的url共计171个,图中取了top10进行展示:

在top10中,plus/90sec.php、plus/mytag_js.php、plus/ad_js.php、plus/laobiao.php、plus/e7xue.php、plus/spider.php、plus/mybak.php都与DEDE织梦系统有关系。

排名第三的/utility/convert/data/config.inc.php属于discuz系统。

二、登陆webshell使用的密码

登陆webshell使用的密码共计223个。

webshell密码中简单密码(位数低于六位,并且全部由数字或字母构成)占比很高,达到69%。

以上是运用基于OpenFEA构建的网络安全分析模型,得出的webshell URL、webshell 密码。看来起分析结果很强大吧,但得益于OpenFEA的支持,它的分析原理却异常简单。

通过采集大量webshell访问数据,主要采用对访问请求的特征与webshell访问行为模型结合匹配,来确定哪些访问属于webshell访问,再通过该请求对应的返回码,确定在系统中是否存在webshell。最终,对webshell访问请求中的post数据和url对象进行解析,对常见的webshell地址、常用密码进行了统计、总结。

如此强大的模型,由两部分组成:

一、访问行为模型

由url访问次数、访问规律、访问来源、页面、访问返回码等组成。

url访问次数:访问总量很少

访问规律:短期内规律,长期无规律,如下次访问可能在2个月后

访问来源:与访问业务的IP相比,webshell源IP非常集中

页面:孤链

访问返回码:200 OK

二、webshell扫描器访问行为模型

由url访问次数、访问规律、访问来源、页面、访问返回码等组成。

url访问次数:访问总量很少

访问规律:通常会访问多个url,并且只进行访问

访问来源:与访问业务的IP相比,webshell源IP非常集中

页面:孤链

访问返回码:404等异常状态

访问行为分析在大量访问日志下,对分析工具的处理能力要求很高,本次检测结果基于OpenFea大数据分析工具实现,需要文中涉及的webshell url和密码数据的亲们,请关注我们的微信公众号openfea,发送关键字“openfea”,将微信自动回复的文章“OpenFEA面授课程教学计划”转发到您的朋友圈后,将分享成功的截图发送至邮箱fea@hzhz.co即可获得,先到先得哦!

展开阅读全文
加载中
点击引领话题📣 发布并加入讨论🔥
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部