webshell檢測
背景:
在b/s架構為主流的當下,
web安全成了攻防領域的主戰場,其中上傳
webshell
是所有web
黑客入侵後一定會做的事,所以檢測**中是否有
webshell
程式是判斷被入侵強有力的證據。
目的:
通過多種維度組成多種方案來幫助管理員盡可能快的在大量檔案中檢索出webshell。
注意:
多種方案可疊加使用,方案與方案之間無互斥關係,多種方案混合使用可提高檢測率。如是多種方案疊加使用的話需對結果進行去重處理。
思路1(基於日誌檢測):
此方法可採用的維度較多,且不會對業務造成影響,是價效比非常高的一種方法。
1、從elk提取
web訪問日誌,以下為日誌舉例:
2、提取狀態碼、訪問檔名稱、訪問時間、user-agent
3、將提取到的資訊與webshell判斷邏輯做匹配
思路2(基於流量檢測):
此方法需要配合ids使用,且對
ids日誌實時性有一定要求。
1、在網路入口處部署ids
2、實時提取ids關於請求
webshell
的原始資料報
3、解析提取到的資料報,並將其源目ip、
tcp序列號取出
4、映象網路入口處流量,根據提取到的源目ip、
tcp的
ack抓取相應回包,並解析其7層
的狀態碼
思路3(基於
agent
):此方法需要在主機上部署agent程式,涉及範圍會比較大。
1、在主機上部署agent
2、週期性檢測web資料夾內檔案屬主與生成時間
入侵感知系列之弱口令檢測思路
弱口令檢測 背景 在安全方面弱口令問題算是技術含量最低的安全隱患了。但往往技術含量越低,被利用頻率也越高,而且造成的影響還不見得小。所以治理弱口令將成為安全體系建設中價效比最高的乙個環節。但是就是這樣乙個價效比高的環節想完全杜絕卻不是那麼容易,未來的系統可以通過註冊申請環節強制設定強密碼,但是針對過...
入侵感知系列之反連檢測思路 白樺林 HK
反連檢測 背景 黑客入侵完成後為了方便下次 關顧 一般都會留下後門程式,此時斷絕黑客的 後路 就顯得尤為重要了 目的 通過多種維度組成多種方案來幫助管理員盡可能快的發現惡意網路連線 注意 多種方案可疊加使用,方案與方案之間無互斥關係,多種方案混合使用可提高檢測率。如是多種方案疊加使用的話需對結果進行...
SQL注入之匯出WebShell
已經聽n個人過說有人已經發現sql注入access得到webshell的技術了,也只是聽說而已,具體的細節還是不得而知。最近在看的書中一章提到jet的安全,然後靈光一閃,呵呵,發現了一種可以利用access匯出asp的方法,分享之。幾個月之前網上就流傳利用sql注入access匯出資料庫內容到文字檔...