webshell是一種常用的網(wǎng)站后門工具，絕大多數(shù)黑客通過webshell長期穩(wěn)定控制系統(tǒng)，對網(wǎng)絡(luò)中其他機(jī)器進(jìn)行攻擊；但webshell的隱患依然沒有受到足夠的重視。尤其是近年來，加密webshell因其流量加密而難以被傳統(tǒng)的WAF和IDS設(shè)備檢測出來而越來越流行，為安全監(jiān)控和管理工作帶來很大的挑戰(zhàn)。目前較為常見的動態(tài)加密WebShell管理工具為冰蝎和蟻劍。

除常規(guī)webshell檢測外，盛邦安全網(wǎng)絡(luò)資產(chǎn)安全治理平臺RayGate已支持針對冰蝎2、冰蝎3（含冰蝎3.7特征檢測規(guī)則）和蟻劍的檢測。

webshell的危害

如果黑客成功在網(wǎng)站中植入了webshell，那么一個“魔盒”就被放置于網(wǎng)站之下，而開啟它的“鑰匙”就掌握在黑客的手中。他們可以通過它，獲取服務(wù)器系統(tǒng)權(quán)限、控制“肉雞”發(fā)起DDos攻擊、篡改網(wǎng)站、網(wǎng)頁掛馬、作為用于隱藏自己的代理服務(wù)器、內(nèi)部掃描、植入暗鏈/黑鏈等進(jìn)行一系列攻擊行為。

webshell的常見檢測方法

靜態(tài)檢測：通過匹配特征碼、特征值、危險函數(shù)來查找webshell，但只能查找已知的webshell。主流的檢測方法有關(guān)鍵字檢查（Keywords Matching）、審核代碼邏輯（Code Logic Review）等。

動態(tài)檢測：webshell在執(zhí)行時表現(xiàn)出來的特征，我們稱為動態(tài)特征。主流的檢測方法有文件狀態(tài)對比（File Info Comparison）、運(yùn)行特征（Feature Matching）、訪問行為檢測（Access Behavior）等。

兩種webshell檢測方法對比：

結(jié)合兩類檢測方法的優(yōu)缺點(diǎn)，盛邦安全網(wǎng)絡(luò)資產(chǎn)安全治理平臺（RayGate）對webshell檢測進(jìn)行了兩點(diǎn)改善:

1、基于黑客行為進(jìn)行檢測，檢查黑客在目標(biāo)機(jī)器中進(jìn)行的操作；

2、選擇功能模塊特征和CSS樣式特征作為弱特征，對webshell進(jìn)行檢查，以降低漏報率和誤報率。

如何應(yīng)對webshell

為了有效而準(zhǔn)確地提供webshell檢測服務(wù)，從實(shí)時流量到主機(jī)系統(tǒng)，輔之以安全應(yīng)急響應(yīng)服務(wù)，盛邦安全推出了webshell檢測組合拳：

針對實(shí)時流量，推出治理平臺webshell檢測功能

可以基于時間進(jìn)行篩選，在疑似或者已經(jīng)發(fā)生風(fēng)險的時間段內(nèi)進(jìn)行重點(diǎn)檢查，目前盛邦安全RayGate已經(jīng)支持對冰蝎2、冰蝎3（含冰蝎3.7特征檢測規(guī)則）以及蟻劍的檢測。

也可以從webshell的分類和匹配特征維度進(jìn)行篩選，webshell的分類主要包含：

√  探測（誰在尋找網(wǎng)站上存在的后門）

√  疑似后門（網(wǎng)站上可能存在的后門）

√  已確定后門（確認(rèn)一定存在的后門）

匹配特征主要包括：

√ 上傳文件特征（根據(jù)上傳的文件是否包含網(wǎng)站后門的特征值進(jìn)行檢測）

√ 請求參數(shù)特征（根據(jù)webshell與黑客交互時候傳遞的特征參數(shù)進(jìn)行檢測）

√ 相應(yīng)頁面特征（根據(jù)黑客行為和指定頁面特征進(jìn)行檢測）

當(dāng)所有自定義服務(wù)均不開啟時，設(shè)備自動選擇默認(rèn)模式。在頁面展示上，具體頁面如下：

7*24小時的專業(yè)安全應(yīng)急響應(yīng)服務(wù)保障

針對用戶應(yīng)急響應(yīng)技術(shù)支持的需求，盛邦安全組建了專業(yè)的應(yīng)急響應(yīng)高級技術(shù)支持服務(wù)團(tuán)隊，并和現(xiàn)場故障處理服務(wù)團(tuán)隊、遠(yuǎn)程互聯(lián)網(wǎng)站安全監(jiān)控團(tuán)隊、檢查評估團(tuán)隊進(jìn)行聯(lián)動，通過電話支持、即時郵件、遠(yuǎn)程支持和現(xiàn)場支持等方式為用戶提供全方位、7×24小時的遠(yuǎn)程和現(xiàn)場應(yīng)急響應(yīng)服務(wù)，包括：應(yīng)急響應(yīng)體系建設(shè)、現(xiàn)場和遠(yuǎn)程應(yīng)急響應(yīng)技術(shù)支持、事后分析和安全加固、協(xié)助用戶組織應(yīng)急演練等。