[发明专利]webshell文件检测方法、装置、服务器以及存储介质

权利要求书

1.一种webshell文件检测方法，其特征在于，所述方法包括：

当满足预设的webshell文件检测启动条件时，扫描服务器上的进程列表，识别出web服务进程；

基于所述web服务进程，确定所述web服务进程的web主目录列表；

对所述web主目录列表进行检测，确定所述web主目录列表中的webshell文件。

2.根据权利要求1所述的方法，其特征在于，所述扫描服务器上的进程列表，识别出web服务进程，包括：

获取所述进程列表中各个进程的进程名；

将每个进程的进程名与预设的web服务进程名进行匹配，如果匹配成功，则确定所述每个进程为web服务进程。

3.根据权利要求1所述的方法，其特征在于，所述基于所述web服务进程，确定所述web服务进程的web主目录列表，包括：

根据所述web服务进程的进程名，识别出当前web服务的类型；

根据所述web服务进程的进程信息，获取所述web服务进程的配置文件的路径；

根据所述web服务进程的配置文件的路径获取所述web服务的配置文件；

根据所述web服务的类型对所述web服务进程的配置文件进行解析，得到所述web服务进程的web主目录列表。

4.根据权利要求3所述的方法，其特征在于，所述根据所述web服务进程的进程信息，获取所述web服务进程的配置文件的路径，包括：

根据web服务进程启动参数，获取所述web服务进程的配置文件的路径。

5.根据权利要求3所述的方法，其特征在于，所述根据所述web服务进程的进程信息，获取所述web服务进程的配置文件的路径，包括：

获取所述web服务进程的配置文件的部分固定路径；

获取所述web服务进程的配置文件的相对偏移路径；

根据所述部分固定路径以及所述相对偏移路径，获取所述web服务进程的配置文件的路径。

6.根据权利要求1所述的方法，其特征在于，所述对所述web主目录列表进行检测，确定所述web主目录列表中的webshell文件，包括：

按照预设时间间隔执行如下处理：

遍历所述web主目录列表中的所有文件，将每个文件的文件名和/或文件内容与预设的webshell检测规则进行匹配，如果匹配成功，则确定所述每个文件为webshell文件。

7.根据权利要求6所述的方法，其特征在于，所述对所述web主目录列表进行检测，确定所述web主目录列表中的webshell文件，还包括：

对所述web主目录列表进行监控，获取所述web主目录列表中的新增文件；

将所述新增文件的文件名和/或文件内容与预设的webshell检测规则进行匹配，如果匹配成功，则确定所述新增文件为webshell文件。

8.一种webshell文件检测装置，其特征在于，所述装置包括：

web服务进程识别单元，用于当满足预设的webshell文件检测启动条件时，扫描服务器上的进程列表，识别出web服务进程；

web主目录列表确定单元，用于基于所述web服务进程，确定所述web服务进程的web主目录列表；

检测单元，用于对所述web主目录列表进行检测，确定所述web主目录列表中的webshell文件。

9.一种服务器，其特征在于，包括：

处理器和存储器；

其中，所述处理器用于执行所述存储器中存储的程序；

所述存储器用于存储程序，所述程序至少用于：

当满足预设的webshell文件检测启动条件时，扫描服务器上的进程列表，识别出web服务进程；

基于所述web服务进程，确定所述web服务进程的web主目录列表；

对所述web主目录列表进行检测，确定所述web主目录列表中的webshell文件。

10.一种存储介质，其特征在于，所述存储介质中存储有计算机可执行指令，所述计算机可执行指令被处理器加载并执行时，实现如上权利要求1至7任一项所述的webshell文件检测方法。