[发明专利]一种本地模拟请求辅助查找webshell的方法及系统

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种本地模拟请求辅助查找webshell的方法及系统。

背景技术

webshell是以asp、php、jsp、cgi等网页文件形式存在的一种命令执行环境，也可以称为一种网页后门。入侵者在入侵网站后，经常在WEB服务器的WEB目录中放置webshell后门文件，且与WEB服务器WEB目录下正常的网页文件混在—起，不易被发现。入侵者可以用WEB方式访问webshell得到命令执行环境以达到控制网站或WEB服务器的目的，可进行的操作包括上传下载文件、查看数据库、执行任意程序命令等。webshell在WEB入侵中充当着脚本攻击工具的作用。

入侵者部署webshell后门的途径有多种，例如直接上传、私自添加修改上传类型、利用WEB系统后台管理功能、利用数据库的备份、恢复、查询功能、及其它各种方法。部署成功后入侵者便可通过网站端口对WEB服务器获得某种程度上操作的权限等。

由于webshell与被控制的WEB服务器或远程主机交换的数据都是通过80端口传递的，因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录，只会在WEB服务器的日志中留下一些数据提交记录，没有经验的管理员是很难看出入侵痕迹的。

目前大多数的webshell文件代码进行了加密，由此绕过了WEB防火墙和防病毒软件的查杀。随着大量漏洞的不断公开、多引擎扫描检测引擎的成熟(例如virustotal多引擎扫描)方便了webshell免杀的制作、加密技术的提高、各种绕过反病毒监控系统的技术公布，使当前webshell的查杀面临着严峻的形势。且传统的检测方法仅能查杀有限加密方式的webshell，攻击者可以使用各类自定义的加密方式躲避查杀。

发明内容

针对上述技术问题，本发明提供了一种本地模拟请求辅助查找webshell的方法及系统，该方法通过本地模拟请求访问所有网页文件，获取返回数据后，对返回数据进行特征检测，从而识别webshell页面，对于加密后的webshell页面同样可以有效识别。

本发明采用如下方法来实现：一种本地模拟请求辅助查找webshell的方法，包括：

读取web服务器配置文件，获取web服务器相关信息；所述相关信息包括：站点个数、路径、域名或者端口号；

依次遍历站点下所有文件，筛选出网页文件，并保存所述网页文件的路径信息；

根据所述路径信息，本地模拟请求，依次访问所述网页文件，获取返回数据；

对返回数据进行特征扫描，并根据扫描结果生成检测报告。

进一步地，所述网页文件包括asp、php、jsp或者cgi格式的网页文件。

进一步地，所述对返回数据进行特征扫描所使用的特征为：获取webshell的返回数据，提取webshell明文字段作为特征。

进一步地，所述对返回数据进行特征扫描所使用的特征为：对于具有登录密码的webshell，提取关键字段作为特征。

本发明采用如下系统来实现：一种本地模拟请求辅助查找webshell的系统，包括：

相关信息获取模块，用于读取web服务器配置文件，获取web服务器相关信息；所述相关信息包括：站点个数、路径、域名或者端口号；

页面路径获取模块，用于依次遍历站点下所有文件，筛选出网页文件，并保存所述网页文件的路径信息；

请求模拟模块，用于根据所述路径信息，本地模拟请求，依次访问所述网页文件，获取返回数据；

特征扫描模块，用于对返回数据进行特征扫描，并根据扫描结果生成检测报告。

进一步地，所述网页文件包括asp、php、jsp或者cgi格式的网页文件。

进一步地，所述对返回数据进行特征扫描所使用的特征为：获取webshell的返回数据，提取webshell明文字段作为特征。

进一步地，所述对返回数据进行特征扫描所使用的特征为：对于具有登录密码的webshell，提取关键字段作为特征。