[发明专利]webshell文件检测方法、装置、服务器以及存储介质

说明书

本发明提供了一种webshell文件检测方法、装置、服务器以及存储介质，首先，当满足预设的webshell文件检测启动条件时，通过自动扫描服务器上的进程列表，识别出web服务进程，然后，基于web服务进程，自动确定出web服务进程的web主目录列表，最后，对web主目录列表进行检测，确定web主目录列表中的webshell文件。上述方案中，在实现对webshell文件的检测过程中，完全不涉及运维人员的人工参与，整个过程自动执行，因此，能够提升webshell文件的检测效率。

技术领域

本发明涉及安全防护技术领域，更具体的说，是涉及一种webshell文件检测方法、装置、服务器以及存储介质。

背景技术

在web系统目前非常流行的当下，受攻击最多的也是web系统，一般情况下90％以上的被攻击的web系统都会被植入webshell作为攻击者的控制方式。webshell是以网页文件形式存在的一种命令执行环境，也可以将其称作为一种网页后门。攻击者在入侵了一个网站后，通常会将webshell与web服务的web目录下正常的网页文件混在一起，然后就可以使用浏览器来访问webshell，得到一个命令执行环境，以达到控制web服务的目的。为了防止webshell对web服务造成安全威胁，就需要提前将webshell检测并删除。

目前，常采用web安全扫描工具检测webshell。由于web安全扫描工具无法自动识别web服务和web目录，一般是由运维人员通过静态配置好web安全扫描工具需要扫描的web服务的web目录的路径，然后，web安全扫描工具开始对该路径下的文件进行循环遍历扫描。

但是，采用上述方式对web服务中的webshell进行检测时，由于需要由运维人员配置web安全扫描工具的扫描路径，导致webshell检测效率低下。

发明内容

有鉴于此，本发明提供了一种webshell文件检测方法、装置、服务器以及存储介质，以提升webshell文件的检测效率。

为实现上述目的，一方面，本申请提供了一种webshell文件检测方法，所述方法包括：

当满足预设的webshell文件检测启动条件时，扫描服务器上的进程列表，识别出web服务进程；

基于所述web服务进程，确定所述web服务进程的web主目录列表；

对所述web主目录列表进行检测，确定所述web主目录列表中的webshell文件。

又一方面，本申请还提供了一种webshell文件检测装置，所述装置包括：

web服务进程识别单元，用于当满足预设的webshell文件检测启动条件时，扫描服务器上的进程列表，识别出web服务进程；

web主目录列表确定单元，用于基于所述web服务进程，确定所述web服务进程的web主目录列表；

检测单元，用于对所述web主目录列表进行检测，确定所述web主目录列表中的webshell文件。

又一方面，本申请还提供了一种服务器，包括：

处理器和存储器；

其中，所述处理器用于执行所述存储器中存储的程序；

所述存储器用于存储程序，所述程序至少用于：

当满足预设的webshell文件检测启动条件时，扫描服务器上的进程列表，识别出web服务进程；

基于所述web服务进程，确定所述web服务进程的web主目录列表；

对所述web主目录列表进行检测，确定所述web主目录列表中的webshell文件。