網(wǎng)站被入侵了鸭丛?試試用這幾個(gè)工具掃描出黑客留下的后門!四款webshell掃描工具的對(duì)比評(píng)測(cè)

“世界上沒有絕對(duì)安全的系統(tǒng)”唐责,不論你對(duì)自己敲出的代碼或者網(wǎng)站的安全性有多么拍胸脯的把握鳞溉,你都不得不認(rèn)同這至理名言。任何程序都有可能出現(xiàn)漏洞鼠哥,任何網(wǎng)站都有被入侵的可能熟菲。近一段時(shí)間以來,各大漏洞一如既往地層出不窮朴恳。例如2018新年的第二天Intel就爆出了巨大的硬件缺陷抄罕,這迫使全球成千上萬的主機(jī)商不得不連夜以損耗性能為代價(jià)做出產(chǎn)品的升級(jí)調(diào)整,數(shù)百億的終端至今也仍處于危險(xiǎn)之中于颖。幾乎每一個(gè)0day漏洞的報(bào)出呆贿,這樣的場(chǎng)景都不得不重演。另一方面,我們?cè)谝箝_發(fā)者不斷提高產(chǎn)品安全系數(shù)的同時(shí)做入,不也應(yīng)擦亮雙眼洞察來往如飛的信息冒晰,并積極為突發(fā)情況做好準(zhǔn)備嗎?

如今竟块,建站已經(jīng)成為所謂“極客”的基本技能之一壶运,各位可能也或多或少的接觸到建站相關(guān)的技術(shù)。畢竟是自己心愛的小站浪秘,提前做好安全方面的措施自然必不可少蒋情。但正如上文表述,漏洞總是會(huì)出現(xiàn)的耸携。對(duì)于自己開發(fā)的程序棵癣,粗心與尚不精湛的技術(shù)極有可能埋下漏洞的禍根;對(duì)于名聲赫赫的各大CMS(如wordpress夺衍、typecho)來說浙巫,亦會(huì)時(shí)不時(shí)地出現(xiàn)安全問題。譬如前一段時(shí)間爆料給你的Typecho之install.php反序列化漏洞刷后。如果你的網(wǎng)站真的倒霉地遭遇了黑客的屠刀,并被留下后門渊抄,你應(yīng)如何以最小的成本清除webshell尝胆,保全珍貴的網(wǎng)站數(shù)據(jù)呢?

這篇文章利用7個(gè)各具特色的护桦、PHP與ASP的webshell含衔,測(cè)試4款掃描工具對(duì)webshell的查殺效果。先來概覽一下這七個(gè)后門吧:

pic.gif

ASP與PHP兩用一句話

one.php

普通的PHP eval型一句話

pure.asp

普通的ASP webshell(大馬)二庵,特征較明顯

powerful.asp

加密過的ASP大馬贪染,不容易辨別

coded.php

加密過的PHP大馬,同樣不容易辨別

recall-func.php

離別歌大牛利用PHP回調(diào)函數(shù)的特性開發(fā)的新一代免殺一句話后門

filebox.php

常用的PHP在線文件管理工具催享,其實(shí)不是正統(tǒng)的后門杭隙,放在其中用以對(duì)比。


(想下載的朋友可以在此處網(wǎng)盤下載)

我們將這七個(gè)文件放在一個(gè)wordpress程序的根目錄下因妙,并移除wp-content和wp-includes兩個(gè)文件夾(不然文件太大了= =)痰憎,模擬真實(shí)的生產(chǎn)環(huán)境:

OK,讓我們開始測(cè)試吧~

Python腳本:findWebshell

github地址:https://github.com/he1m4n6a/findWebshell

這個(gè)項(xiàng)目是一款基于python開發(fā)的webshell檢查工具攀涵,可以根據(jù)特征碼匹配檢查任意類型的webshell后門铣耘。原理和架構(gòu)都比較簡(jiǎn)單。

運(yùn)行細(xì)節(jié)我就不貼了以故,我們直接來看掃描結(jié)果:

結(jié)果是7個(gè)后門中僅僅掃描出兩個(gè)蜗细,而且誤報(bào)了大量wordpress的文件∨辏可見這套程序的特征碼庫及其匹配機(jī)制還是有很大的提升空間的炉媒。

WEBSHELL.PUB查殺

webshell.pub提供在線掃描與客戶端(支持windows和linux)兩種形式的查殺踪区。我將整個(gè)模擬網(wǎng)站打包上傳進(jìn)行掃描:

從圖片呈現(xiàn)出的查殺結(jié)果可以看到,在同樣誤報(bào)了一定數(shù)量的wordpress自身文件后橱野,程序掃描出來7個(gè)webshell中的5個(gè)朽缴。其中recall-func.php(PHP函數(shù)回調(diào)一句話)和coded.php(PHP加密一句話)未被檢測(cè)出來。測(cè)試發(fā)現(xiàn)整個(gè)查殺過程非乘快密强,幾乎是在上傳的同時(shí)就返回了查殺結(jié)果,有可能也是用了特征碼匹配的手法蜗元。其準(zhǔn)確度還是比較可觀的或渤。

百度WEBDIR+ webshell掃描服務(wù)

WEBDIR+是百度安全團(tuán)隊(duì)開發(fā)的一套在線webshell掃描服務(wù),目前免費(fèi)開發(fā)使用奕扣,可匿名調(diào)用API上傳壓縮包掃描薪鹦。我上傳與上面同樣的壓縮包,在將近一分鐘的等待之后得到了掃描結(jié)果:

此套服務(wù)對(duì)wordpress原生文件的誤報(bào)降低到3個(gè)惯豆,并掃描出了7個(gè)漏洞中的5個(gè)池磁。未被檢測(cè)出來的webshell是powerful.asp(ASP混淆加密大馬)和pure.asp(普通ASP大馬)。測(cè)試表示W(wǎng)EBDIR+執(zhí)行需要一定的等待時(shí)間楷兽,誤報(bào)率與webshell.pub的服務(wù)相比大大降低地熄,但還是有兩個(gè)ASP后門逃過了天眼,可見產(chǎn)品對(duì)于ASP語言的檢測(cè)仍然有一定的提升空間芯杀。

D盾

上面三個(gè)工具都可以跨平臺(tái)使用端考,而D盾只能在windows平臺(tái)上運(yùn)行,這就為linux建站的朋友帶來一點(diǎn)不便揭厚。D盾的作者啊D原來也是滲透的老玩家却特,現(xiàn)在金盆洗手做起安全產(chǎn)品來了,而且還供大家免費(fèi)使用筛圆。我們且看看D盾對(duì)于如上網(wǎng)站文件的檢測(cè)結(jié)果:

結(jié)果出來裂明,檢測(cè)整個(gè)網(wǎng)站目錄用時(shí)只有7秒之短。在追出了兩個(gè)wordpress原生文件之外太援,7個(gè)webshell已經(jīng)被無一幸免地鑒別出來了漾岳,并且做了詳細(xì)到不能再詳細(xì)的標(biāo)注。離別歌大牛的PHP回調(diào)函數(shù)馬在其文章中測(cè)試時(shí)是可以過D盾的粉寞,然而現(xiàn)在貌似已經(jīng)入庫了尼荆。在D盾的官網(wǎng)你可以看到其更新速度比較頻繁,可以說這樣比較杰出的掃描結(jié)果是和其開發(fā)者的充足經(jīng)驗(yàn)和不斷完善的特征庫有很大關(guān)系的唧垦。但其缺點(diǎn)就是只能在windows環(huán)境下使用捅儒。

OK我們來總結(jié)一下,四款掃描工具中要數(shù)D盾的性能比較出眾。所以我建議Linux建站的朋友可以在網(wǎng)站被入侵后(或者定期)把網(wǎng)站文件打包下來放在D盾中進(jìn)行掃描巧还,可以較好的揪出隱匿的webshell鞭莽。

隨著人工智能近年來的飛速發(fā)展,我相信這新項(xiàng)技術(shù)必然在不久的將來被應(yīng)用于諸如后門查殺這樣的領(lǐng)域上麸祷,識(shí)別精度必然會(huì)發(fā)生質(zhì)的提高澎怒,以更好的保證我們網(wǎng)站的安全。讓我們懷著期待而感激科技的進(jìn)步吧阶牍!~

文章首發(fā)于淀粉月刊

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 序言:七十年代末喷面,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子走孽,更是在濱河造成了極大的恐慌惧辈,老刑警劉巖,帶你破解...
    沈念sama閱讀 221,888評(píng)論 6 515
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件磕瓷,死亡現(xiàn)場(chǎng)離奇詭異盒齿,居然都是意外死亡,警方通過查閱死者的電腦和手機(jī)困食,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 94,677評(píng)論 3 399
  • 文/潘曉璐 我一進(jìn)店門边翁,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人硕盹,你說我怎么就攤上這事符匾。” “怎么了莱睁?”我有些...
    開封第一講書人閱讀 168,386評(píng)論 0 360
  • 文/不壞的土叔 我叫張陵,是天一觀的道長(zhǎng)芒澜。 經(jīng)常有香客問我仰剿,道長(zhǎng),這世上最難降的妖魔是什么痴晦? 我笑而不...
    開封第一講書人閱讀 59,726評(píng)論 1 297
  • 正文 為了忘掉前任南吮,我火速辦了婚禮,結(jié)果婚禮上誊酌,老公的妹妹穿的比我還像新娘部凑。我一直安慰自己,他們只是感情好碧浊,可當(dāng)我...
    茶點(diǎn)故事閱讀 68,729評(píng)論 6 397
  • 文/花漫 我一把揭開白布涂邀。 她就那樣靜靜地躺著,像睡著了一般箱锐。 火紅的嫁衣襯著肌膚如雪比勉。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 52,337評(píng)論 1 310
  • 那天,我揣著相機(jī)與錄音浩聋,去河邊找鬼观蜗。 笑死,一個(gè)胖子當(dāng)著我的面吹牛衣洁,可吹牛的內(nèi)容都是我干的墓捻。 我是一名探鬼主播,決...
    沈念sama閱讀 40,902評(píng)論 3 421
  • 文/蒼蘭香墨 我猛地睜開眼坊夫,長(zhǎng)吁一口氣:“原來是場(chǎng)噩夢(mèng)啊……” “哼砖第!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起践樱,我...
    開封第一講書人閱讀 39,807評(píng)論 0 276
  • 序言:老撾萬榮一對(duì)情侶失蹤厂画,失蹤者是張志新(化名)和其女友劉穎,沒想到半個(gè)月后拷邢,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體袱院,經(jīng)...
    沈念sama閱讀 46,349評(píng)論 1 318
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 38,439評(píng)論 3 340
  • 正文 我和宋清朗相戀三年瞭稼,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了忽洛。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 40,567評(píng)論 1 352
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡环肘,死狀恐怖欲虚,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情悔雹,我是刑警寧澤复哆,帶...
    沈念sama閱讀 36,242評(píng)論 5 350
  • 正文 年R本政府宣布,位于F島的核電站腌零,受9級(jí)特大地震影響梯找,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜益涧,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,933評(píng)論 3 334
  • 文/蒙蒙 一锈锤、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧闲询,春花似錦久免、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 32,420評(píng)論 0 24
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至鸽捻,卻和暖如春丁寄,著一層夾襖步出監(jiān)牢的瞬間氨淌,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 33,531評(píng)論 1 272
  • 我被黑心中介騙來泰國(guó)打工伊磺, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留盛正,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 48,995評(píng)論 3 377
  • 正文 我出身青樓屑埋,卻偏偏與公主長(zhǎng)得像豪筝,于是被迫代替她去往敵國(guó)和親。 傳聞我的和親對(duì)象是個(gè)殘疾皇子摘能,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 45,585評(píng)論 2 359

推薦閱讀更多精彩內(nèi)容

  • (源自摘抄整理)https://www.91ri.org/11494.html Webshell實(shí)現(xiàn)與隱藏探究 一...
    JackyTsuuuy閱讀 20,835評(píng)論 2 13
  • 一套實(shí)用的滲透測(cè)試崗位面試題续崖,你會(huì)嗎? 1.拿到一個(gè)待檢測(cè)的站团搞,你覺得應(yīng)該先做什么严望? 收集信息 whois、網(wǎng)站源...
    g0閱讀 4,843評(píng)論 0 9
  • 我們?yōu)槭裁匆肭忠粋€(gè)網(wǎng)站 我覺得以我現(xiàn)在的水平無法回答這個(gè)問題逻恐。 但是我客觀的認(rèn)為像吻,入侵一個(gè)網(wǎng)站最根本的原因是想拿...
    青山i閱讀 1,885評(píng)論 0 2
  • 來源:http://bbs.ichunqiu.com/thread-8907-1-1.html?from=ch 作...
    池寒閱讀 1,426評(píng)論 1 5
  • 先知技術(shù)社區(qū)獨(dú)家發(fā)表本文,如需要轉(zhuǎn)載复隆,請(qǐng)先聯(lián)系先知技術(shù)社區(qū)授權(quán)拨匆;未經(jīng)授權(quán)請(qǐng)勿轉(zhuǎn)載。先知技術(shù)社區(qū)投稿郵箱:Aliyu...
    冰5042閱讀 1,912評(píng)論 0 7