一种非侵入式的webshell检测方法专利检索-操作系统软件专利检索查询-专利查询网

一种非侵入式的webshell检测方法

阅读：43发布：2024-02-18

专利汇可以提供一种非侵入式的webshell检测方法专利检索，专利查询，专利分析的服务。并且本发明涉及信息安全技术领域，旨在提供一种非侵入式的webshell检测方法。该种非侵入式的webshell检测方法包括步骤：远程登录、反向挂载、本地扫描、结果记录和策略库升级。本发明使网站主机和检查平台网络在逻辑上各自独立，检测平台本身对运行网站主机没有进行任何文件的增删和修改，也无需在网站服务器进行安装，运行的结果也不会对网站服务器产生任何影响，网站主机和检查平台完全独立，仅在检测过程中，网站主机使用检测实例对本地的文件进行检测，结果输出到挂载的检测平台上。，下面是一种非侵入式的webshell检测方法专利的具体信息内容。

权利要求

1.一种非侵入式的webshell检测方法，用于对网站服务器进行webshell检测，其特征在于，所述非侵入式的webshell检测方法具体包括下述步骤：
(1)远程登录：
当网站服务器运行在linux 操作系统时，通过管理员手工配置，让检测平台获取网站服务器的ssh访问权限，检测平台通过ssh登录到网站服务器；
当网站服务器运行在windows操作系统时，检测平台通过telnet或者windows远程登录到网站服务器；
所述检测平台是非侵入式的webshell检测平台；检测平台和网站服务器都部署在机房内，属于机房可信区域，不会受到机房防火墙的访问限制；
(2)反向挂载：
当网站服务器运行在linux操作系统时，将检测平台挂载到网站服务器的某个目录；
当网站服务器运行在windows操作系统时，网站服务器通过使用smb或者nfs给检测平台分配一个盘符，反向挂载检测平台到网站服务器；
网站服务器就能使用检测平台提供的检测程序和检测平台提供的特征库；
所述检测平台提供网络挂载服务；检测平台还提供检测实例程序，检测实例程序是指webshell检测实例程序，用于检测脚本中是否含有webshell恶意代码；
(3)本地扫描：
指定检测目录和策略后，运行检测平台提供的检测实例程序对网站服务器进行webshell恶意代码扫描，运行结果直接通过写本地文件的方式记录在检测平台；
(4)结果记录：
扫描结束后，网站服务器在本地卸载检测平台，检测平台也结束SSH会话，并将步骤(3)获得的运行结果在检测平台的本地存储；
(5)策略库升级：
根据安全策略，对策略库进行离线升级或者在线升级。
2.根据权利要求1所述的一种非侵入式的webshell检测方法，其特征在于，所述步骤(4)结果记录中，webshell的检测结果在检测平台的本地存储后，能进行本地或者上传云端进行分析。
3.根据权利要求1所述的一种非侵入式的webshell检测方法，其特征在于，该非侵入式的webshell检测平台能远程连接到目标网站主机，并在远程网站主机反向挂载检测平台，运行检测实例。
4.根据权利要求1所述的一种非侵入式的webshell检测方法，其特征在于，webshell恶意样本的检测结果都直接保存在检测平台上，不会影响被检测的网站主机。

说明书全文

一种非侵入式的webshell检测方法

技术领域

[0001] 本发明是关于信息安全技术领域，特别涉及一种非侵入式的webshell检测方法。

背景技术

[0002] webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，对于黑客来说，它就是一种基于网页的后门。黑客成功入侵了一个网站之后，往往会将asp或php后门文件上传到网站服务器WEB目录下，和正常的网页文件混在一起，然后通过浏览器来访问asp或者php后门，得到一个命令执行环境，由此可以控制网站服务器。

[0003] WebShell后门具有隐蔽性，一般有隐藏在正常文件中并修改文件时间达到隐蔽的，还有利用服务器漏洞进行隐藏，如"..."目录就可以达到，站长从FTP(File Transfer Protocol(文件传输协议))中找到的是含有“..”的文件夹，而且没有权限删除，还有一些隐藏的WEBSHELL，可以隐藏于正常文件带参数运行脚本后门。

[0004] webshell可以穿越服务器防火墙，由于与被控制的服务器或远程过80端口传递的，因此不会被防火墙拦截。恶意代码检测技术已经成为信息安全领域的一个重要方向，并且已经取得了非常多的研究成果。恶意代码的检测技术根据分析对象的不同主要分静态检测和动态检测两种，静态检测是对代码的文本特征进行分析，动态检测则是对代码执行行为的分析。

[0005] 如上所述，检查webshell的方式就是在网站服务器本地运行检测程序进行动态或者静态检测，用来进行特征匹配，语法分析或者执行行为分析，传统的解决方案是由后台管理人员，将检查程序安装到目标网站，用人工或者自动化的的方式进行扫描，获取扫描结果，这种侵入到网站服务器的检测方式存在以下两个问题：

[0006] 1、检测程序的升级问题：webshell更新传播速度很快，检测程序和特征库必须跟上webshell的更新和变化，因此需要经常性的升级，而在本地部署检测程序，对网络环境的依赖非常大，检测实例和特征库必须通过特定的网络和端口，使用在线升级的方式，从远端服务器进行升级。而网站主机的网络环境都比较复杂，为了保证安全，网站的管理经常采用防火墙，ACL进行限制。

[0007] 2、对安装环境的影响：安装监测软件之后，会对生产环境产生影响，其中包括检测软件实例本身和其运行期间所产生的结果日志，很可能会干扰网站主机的正常工作，特别是在某些网站主机，会对文件更新时间进行检查，监测病毒的入侵，而检测软件本身会对这些行为产生干扰。

发明内容

[0008] 本发明的主要目的在于克服现有技术中的不足，提供一种能隔离扫描程序和网站，非侵入式地解决扫描问题的webshell检测方法。为解决上述技术问题，本发明的解决方案是：

[0009] 提供一种非侵入式的webshell检测方法，用于对网站服务器进行webshell检测，所述非侵入式的webshell检测方法具体包括下述步骤：

[0010] (1)远程登录：

[0011] 当网站服务器运行在linux 操作系统时，通过管理员手工配置，让检测平台获取网站服务器的ssh访问权限，检测平台通过ssh登录到网站服务器；

[0012] 当网站服务器运行在windows操作系统时，检测平台通过telnet或者windows远程登录到网站服务器；

[0013] 所述检测平台是非侵入式的webshell检测平台；检测平台和网站服务器都部署在机房内，属于机房可信区域，不会受到机房防火墙的访问限制；

[0014] (2)反向挂载：

[0015] 当网站服务器运行在linux操作系统时，将检测平台挂载到网站服务器的某个目录(如/mnt)；

[0016] 当网站服务器运行在windows操作系统时，网站服务器通过使用smb或者nfs给检测平台分配一个盘符，反向挂载检测平台到网站服务器；

[0017] 网站服务器就能(像本地的应用一样)使用检测平台提供的检测程序和检测平台提供的特征库(该特征库用于匹配webshell样本)；

[0018] 所述检测平台提供(nfs或者其他类似的)网络挂载服务；检测平台还提供检测实例程序，检测实例程序是指webshell检测实例程序，用于检测脚本中是否含有webshell恶意代码；

[0019] (3)本地扫描：

[0020] 指定检测目录和策略后，运行检测平台提供的检测实例程序对网站服务器进行webshell恶意代码扫描(这里的运行方式可以参考大多数webshell的扫描程序)，运行结果直接通过写本地文件的方式记录在检测平台(无需对网站服务器进行写操作和创建文件等操作)；

[0021] (4)结果记录：

[0022] 扫描结束后，网站服务器在本地卸载检测平台，检测平台也结束SSH会话，并将步骤(3)获得的运行结果在检测平台的本地存储；

[0023] (5)策略库升级：

[0024] 根据安全策略(即指webshell检测程序实例所使用的恶意代码匹配样本)，对策略库(即安全策略集合)进行离线升级或者在线升级。

[0025] 在本发明中，所述步骤(4)结果记录中，webshell的检测结果在检测平台的本地存储后，能进行本地或者上传云端进行分析(这个过程和网站服务完全没有关系)。

[0026] 在本发明中，该非侵入式的webshell检测平台能远程连接到目标网站主机，并在远程网站主机反向挂载检测平台，运行检测实例。

[0027] 在本发明中，webshell恶意样本的检测结果都直接保存在检测平台上，不会影响被检测的网站主机。

[0028] 与现有技术相比，本发明的有益效果是：

[0029] 1、网站主机和检查平台网络在逻辑上各自独立，检测平台本身对运行网站主机没有进行任何文件的增删和修改，也无需在网站服务器进行安装，运行的结果也不会对网站服务器产生任何影响，网站主机和检查平台完全独立，仅在检测过程中，网站主机使用检测实例对本地的文件进行检测，结果输出到挂载的检测平台上。

[0030] 2、检测结束之后，检测程序会从网站主机上卸载，中间的ssh等连接也会断开，在网络层甚至物理上进行隔绝。

[0031] 3、升级很方便，可以离线或者在线，检测平台任何升级或者变更行为不会影响网站主机安全。

[0032] 4、可以做到并行检测，同时给IDC机房内的数千台网站主机进行检测；现有的webshell的检测往往需要对数万文件进行数百关键特征匹配，对CPU和内存要求都比较高，但采用本发明的方式，计算行为都是在各自网站主机上进行，检测服务器只负责承载检测实例以及汇总匹配结果，因此很容易做到分布式高并发。

[0033] 5、通过使用本发明结果的汇集，有利于对检测结果进行集中化管控，对整体安全进行防护附图说明

[0034] 图1为本发明的流程框图。

具体实施方式

[0035] 首先需要说明的是，本发明涉及远程访问、挂载技术的应用，是计算机技术的一种应用。在本发明的实现过程中，会涉及到多个软件功能模块的应用。申请人认为，如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后，在结合现有公知技术的情况下，本领域技术人员完全可以运用其掌握的软件编程技能实现本发明。凡本发明申请文件提及的均属此范畴，申请人不再一一列举。

[0036] 下面结合附图与具体实施方式对本发明作进一步详细描述：

[0037] 假设要对IDC机房内的某一个网站主机进行webshell检测具体包括下述步骤：

[0038] 步骤A：配置网站主机的远程登录方法，如通过ssh的用户密码登录或者ssh秘钥对进行免密登录。

[0039] 步骤B：登录网站主机后，在网站主机内反向挂载检测平台，获得检测程序实例和平台上的磁盘工具。

[0040] 如：mount-t nfs-o rw 192.168.0.80:/home/lyf/mnt/nfs

[0041] 步骤C：运行检测程序实例，对网站主机的文件进行webshell静态扫描或者动态分析，结果记录在检测平台的磁盘空间。

[0042] 如：/mnt/nfs/webshellChecker/opt/webapp–w/mnt/nfs/result.log[0043] 步骤D：检测完成后，卸载检测平台空间，检测平台断开远程连接。

[0044] 如：umount/mnt/nfs

[0045] 步骤E：检测平台独立检查结果文件，进行webshell分析。

[0046] 最后，需要注意的是，以上列举的仅是本发明的具体实施例。显然，本发明不限于以上实施例，还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导出或联想到的所有变形，均应认为是本发明的保护范围。

标题	发布/更新时间	阅读量
一种充电桩的充电服务网络运营监控系统及其工作方法	2020-05-08	722
一种基于容器引擎的远方电能量数据终端	2020-05-08	66
在可编程逻辑控制器(PLC)中自主添加和删除功能的装置和方法	2020-05-08	573
一种信息处理方法及装置、设备、存储介质	2020-05-08	992
智能网联汽车云平台控制操作系统	2020-05-11	973
一种双模机载卫星通信调制解调终端	2020-05-11	81
指纹设备操作方法及装置、存储介质、云服务器、指纹操作系统	2020-05-08	690
一种新旧代码共同运行的kbroker分布式操作系统	2020-05-08	613
在Windows终端上部署的IPv4电子邮件外发代理的方法	2020-05-11	507
一种新型车载信息娱乐系统	2020-05-08	837

一种非侵入式的webshell检测方法

一种非侵入式的webshell检测方法

技术领域

背景技术

发明内容

具体实施方式

该功能需要专业版企业版VIP权限，您可以：