WebShell应急响应检测方法研究与实践

Intelligent Processing and Application

DOI

：

10.16667/.2095-1302.2023.08.029

WebShell应急响应检测方法研究与实践

朱振南，金京犬

（

安徽邮电职业技术学院

，

安徽 合肥 230031

）

互联网上的Web信息系统的飞速发展

，

给人们的生活和办公上带来了便利

。

然而

，

近年来网络安全

摘 要：

事件频发

，

暴露出互联网的Web信息系统面临的风险和其脆弱性

。

作为网站服务器的后门恶意文件

，

即WebShell

，

其具有极强的隐蔽性

，

是黑客入侵网站的重要手段

，

直接影响着互联网上Web信息系统的安全与效率

。

因此

，

对

WebShell的分析和研究就显得极为重要

。

鉴于此

，

讨论WebShell的分类方法

，

分析了两种WebShell的上传方法

，

给出了当前WebShell检测的主流方法

，

介绍了WebShell应急响应的一般流程

。

最后给出一个Windows操作系统服

务器

，

针对WebShell应急响应处置流程进行实验

。

实验结果表明

，

结合现有的WebShell检测和响应技术可以保障

Web信息系统的安全性

、

可用性和稳定性

。

应急响应

；

WebShell检测

；

Web信息系统

；

网络安全

；

WebShell分类

；

Web日志分析

关键词：

TP393.08 A 2095-1302

（

2023

）

08-0108-03

中图分类号：

文献标识码：文章编号：

0 引 言

WebShell通常指网站服务器的后门恶意文件

，

是一种以

可执行网页脚本文件的形式存在于Web服务器上

，

一般具有

文件上传下载

、

在线编辑

、

数据库操作

、

命令执行等功能

，

因经常与常规的网页文件混合保存在同一个目录中

，

具有极

强的隐蔽性

。

WebShell可以轻松绕过防火墙

，

不被防火墙拦

截

，

同时对它的操作只在Web日志中留下使用痕迹

，

而不会

在系统日志中留下数据操作的痕迹

。

网络入侵者通过网站文

件上传

、

SQL注入等漏洞植入WebShell到网站服务器目录上

，

应用专门的后门管理工具进行连接恶意文件成功后

，

从而达

到持续控制网站服务器权限目的

。

Windows和Linux操作系统

，

适合用来做Web动态网站开发

，

并可以把它嵌入到HTML语言中

。

表1 WebShell分类简单脚本

WebShell分类

PHP型WebShell脚本

ASP型WebShell脚本

JSP型WebShell脚本

WebShell简单脚本

（

$_POST["cmd"]

）；

?>

<% eval request

（

"cmd"

）

%>

<%time

（）

.exec

（

request.

getParameter

（

"cmd"

）

%>

）

（

2

）

ASP类型WebShell脚本

ASP

（

Active Server Page

）

为活动服务器网页

，

用于各

种动态网站服务的开发

，

与数据库和其他应用程序交互也

是非常方便

，

支持Windows操作系统上IIS服务器运行的

程序

。

（

3

）

JSP类型WebShell脚本

JSP

（

Java Server Page

）

是一种动态Web资源的开发技

术

。

JSP是在传统的网页HTML文件中插入Java程序段和

JSP标记

，

从而形成JSP文件

。

1.2 脚本大小和功能分类

按照WebShell的大小和功能将其划分为一句话木马

、

小

马和大马三类

。

（

1

）

一句话木马型WebShell

。

顾名思义就是文件内容

只有一句话

，

如表1中的WebShell简单脚本所示

，

传入的

参数方法常有POST

、

GET和Request方法

。

POST方法提

交的参数可以使用中国菜刀

、

蚁剑等远程管理工具连接目

标受害服务器

；

GET方法提交的参数通过URL地址形式

1 WebShell分类

WebShell分类通常有两种形式

：

一种是按照脚本语言类

型划分

；

另一种就是按照脚本功能和大小划分

。

1.1 脚本类型分类

常见的Web网页形式有PHP语言

、

ASP语言

、

JSP语言等

，

因此WebShell划分为PHP

、

ASP和JSP三种类型

[1]

，

常见

的WebShell脚本见表1所列

。

（

1

）

PHP类型WebShell脚本

PHP

（

Hypertext Preprocessor

）

为超文本预处理器

，

PHP可以支持常见的MySQL

、

Oracle等数据库和常见的

收稿日期

：

修回日期

：

2022-07-15 2022-09-02

基金项目

：

安徽省高校自然科学重点研究项目

（

2022AH052959

）

阶段性研究成果

108

物联网技术

2023

年

/

第

8

期

Intelligent Processing and Application

连接目标受害服务器Request方法提交的参数既可以使用

；

POST方法又可以使用GET方法连接目标受害服务器

。

假

设IP地址为192.168.1.6目标服务器根目录下有一个隐藏的

GET类型的一句话木马文件"."

，

利用访问方式"http

：

//192.168.1.6/.?cmd=system("cat /")

；

"获取敏感文

件"/"内容

，

如图1所示

，

参数"cmd"是攻击者远程

控制服务器的连接密码

。

见上传WebShell的方法

。

有些网站只是在前端JavaScript做

控制

，

这种控制方法没有任何实际效果

，

攻击者可以通过浏

览器开发者模式绕过

。

利用文件上传漏洞绕过上传WebShell

方式有多种

，

如通过黑名单

、

双写

、

大小写

、

00截断

、

服

务器解析和图片码等方式绕过服务器

，

进而上传恶意的

WebShell

。

2.2 利用SQL注入漏洞上传WebShell

网站中某些功能经常需要和数据库进行交互操作

，

比如

搜索框

、

登录框

、

注册入口等

，

攻击者通过构造一些SQL

语句拼接在原程序设计的语句之后

，

从而导致数据库受损被

脱库

、

删除

，

甚至整个服务器权限沦陷

。

结合union联合查

询方法和into outfile方法

，

把WebShell写入到指定的文件

中

，

例如可以采用payload

：

xxx' union select "

（

$_

GET['cmd']

）

?> " into outfile "/var/www/html/"#

，

把一

；

句话木马写入到网站的根目录下的文件中

。

使用into

outfile方法写入WebShell到指定文件中有3个限制条件

，

即

需要知道远程目录

、

需要远程目录有写权限

、

需要数据库开

启了secure_file_priv选项功能

。

图1 一句话木马利用

（

2

）

小马型WebShell

。

该类型功能比较简单

，

文件容

量也是比较小

，

一般用来创建后者上传大马WebShell文件

。

如图2所示

，

利用小马""创建一个新的文件"New.

php"

，

其功能是可以绕过各大杀毒软件

、

安全狗

、

D盾的

php类型的一句话恶意文件

，

且连接密码为

“

1

”。

3 WebShell检测方法

WebShell典型检测方法有静态检测

、

动态检测

、

日志检

测和基于机器学习检测四大研究方向

。

各类检测方法的比较

见表2所列

。

图2 小马创建

表2 WebShell检测方法比较

WebShell

检测方法

静态检测

动态检测

日志检测

机器学习

检测

图3 经典大马GUI界面

检测时间

范围

入侵实施

前检测

入侵执行

时检测

入侵执行

后检测

入侵实施

前检测

优 点

实现简单

，

对于已知

WebShell检测效率高

能检测出未知WebShell

，

误报率低

实现简单

，

效果明显

准确率高

缺 点

误报漏报率高

实现困难

，

时效性差

日志数据庞大

，

检测效率低

学习算法设计困

难

，

误报率高

（

3

）

大马型WebShell

。

该类型WebShell功能比较齐全

，

体积较大

。

把文件上传与下载

、

编辑

、

数据库管理

、

提权等

功能集在一个GUI界面

，

操作方便

。

图3是经典的大马操作

界面

。

3.1 基于静态的WebShell检测

基于静态的检测方法

[2]

主要是检测WebShell文件本身

，

通过预先设计好的正则表达式检测文件内容是否包含有执行

系统的高危函数

、

特征值等属性

，

这类检测方法要求特征库

全面

、

正则表达式的数据处理能力强

，

但对于变形

、

加密

、

免杀处理和新型未知的WebShell不能识别

，

导致漏报率

很高

。

3.2 基于动态的WebShell检测

基于动态的检测方法

[3]

主要是通过检测敏感函数和流量

分析方法

，

抓取攻击者和目标服务器之间互动的协议层面流

2023

年

/

第

8

期

物联网技术

2 WebShell上传方法

当网站中存在高危漏洞

，

攻击者利用这些高危漏洞就可

以把WebShell上传到网站

，

网站的访问权限被进一步提升

，

常见的WebShell上传方法有以下两种

。

2.1 利用文件上传漏洞上传WebShell

网站中经常需要上传一些像图片

、

Word和Excel等附件

，

但是有时候仅仅实现了文件上传功能

，

没有对用户输入的数

据做严格的过滤

，

存在文件上传漏洞

。

文件上传漏洞是最常

109

Intelligent Processing and Application

量

，

分析WebShell关联特征

，

包括payload特征

、

文件大小

、

文件执行权限等

。

这类检测方法对于已知和未知的WebShell

检测效果都很好

，

但是访问流量数据比较大

，

在时效性方面

还有待进一步研究提高

。

3.3 基于日志的WebShell检测

基于日志的WebShell检测

[4]

是通过海量的日志数据建

立检测模型

，

对常见的多种日志提取和综合分析

，

可有效识

别WebShell的上传行为

。

这类检测方法是在已经入侵实事

的基础上进行检测

，

同时日志数据庞大

，

实时性差

。

3.4 基于机器学习的WebShell检测

传统针对WebShell的检测方法耗时耗力

、

漏报和漏报

率比较高

、

检测效果也不是很明显特点

。

近年来

，

很多前辈

研究学者们提出了基于机器学习检测WebShell的方法

[5]

。

基

于机器学习算法有很强的数据自处理能力以及特征自学习能

力

，

这类检测方法主要是依赖机器学习算法的选择

，

前辈研

究学者提出了将决策树算法

[6]

、

随机森林改进算法

、

K近邻

算法等融入到WebShell检测算法中

，

检测的准确率得到了

提高

，

同时降低了误报率和漏报率

。

管理系统后台登录页面被篡改

，

应急响应处置流程

[7]

如下

：

Step1

：

WebShell排查

。

利用检测工具D盾扫描网站根

目录

，

发现WebShell痕迹

，

查看对应的文件内容

，

确认为

WebShell

，

如图5所示

。

通过D盾扫描结果定位WebShell

位于网站的根目录"D

：

Webupfileaffix"下

，

文件的创建时

间为2021年12月22日16时34分至38分

。

图5 D盾扫描WebShell

Step2

：

Web日志分析

。

分析相应时间范围内的Web应

用日志文件

，

发现有一个终端IP地址为172.*.*.20在2021年

12月16日试图多次登录网站服务器管理后台

，

但都没有登

录成功

，

如图6所示

。

图6 登录后台失败事件

4 WebShell应急响应流程

可以使用同源文件比较快速地定位WebShell的位置

，

查

看Web日志文件

，

分析异常访问流量

。

WebShell应急响应

流程如图4所示

。

在2021年12月21日

，

发现入侵者通过用户"down"账

号成功连接到数据库

，

如图7所示

，

并使用数据库里面的管

理员账号成功登录网站服务器管理后台

。

图7 成功连接网站数据库

利用网站服务器管理后台的文件上传功能

，

经过多次上

传

，

发现文件上传经过重命名后文件名长度为32个字符

，

最后利用该漏洞成功上传了WebShell

。

图4 WebShell应急响应流程

Step3

：

系统排查

。

通过异常端口

、

进程排查

，

可疑文

件排查

，

可疑账号排查

，

发现并无异常

，

入侵者仅上传了

WebShell操作

，

并没有对系统进行恶意操作

。

综上分析

，

判断入侵者的攻击路径

，

入侵者通过扫描工

具

，

发现服务器主机开放了27689端口

，

在服务器的某个网

页中发现了连通数据库的敏感信息

，

获得了服务器的数据库

权限

，

成功登录了文件管理系统

，

利用文件管理系统内的文

件上传模块漏洞上传WebShell到Web服务器

，

获得了服务

器操作系统的权限

。

Step4

：

根除与恢复

。

（

1

）

暂停相关业务服务

，

清除服务器中的WebShell

。

（

2

）

数据库采用本地链接

，

禁止远程连接访问

。

（

3

）

删除Web页面中暴露出来的敏感信息

，

关闭不必要

的端口

，

采用白名单形式过滤修复文件上传漏洞

，

对服务器

进行全面安全加固

。

（

下转第114页

）

（

1

）

可以使用一些类似D盾和河马WebShell的Web查

杀工具

，

扫描网站根目录

，

判断WebShell创建的时间和攻

击范围

，

以便后续依据该时间进行溯源分析

；

（

2

）

对网站的Web访问日志和错误日志进行重点分析

，

特别是攻击时间前后的日志信息

，

从而判断攻击者的攻击

路径

；

（

3

）

分析网站中可能存在漏洞的位置

，

并对已发现的漏

洞进行复现

，

还原攻击者的活动路径

；

（

4

）

清除已知存在的WebShell

，

对系统和网站应用程序

进行安全加固

，

修复已知漏洞

。

5 WebShell应急响应实践

某文件管理应用系统采用asp语言开发

，

搭建在

Windows操作系统服务器上

，

在一次巡检过程中

，

发现文件

110

物联网技术

2023

年

/

第

8

期

Intelligent Processing and Application

，

ZigBee

、

WirelessHART

、

ISA100.11a

、

WIA-信

。

目前为止

PA等协议广泛采用上述标准进行低功耗及可靠性约束

。

Transactions on Industrial Electronics

，

2017

，

64

（

1

）：

727-738.

[3]BANERJEEN

，

XIE Y

，

RAHMAN M M

，

et al. From chips

to dust

：

the MEMS shatter secure chip [C]// In 2014 IEEE 27th

International Conference on Micro Electro Mechanical Systems

IEEE

，

2014

：

1123-1126.

（

MEMS

）

. [S.l.]

：

[4]朱西方.物联网技术发展及应用研究[J].山东工业技术

，

2017

，

36

（

8

）：

151.

[5]苏恺

，

郑华

，

李卢城

，

等.物联网典型安全漏洞及其防护[J].数

字技术与应用

，

2022

，

40

（

4

）：

212-214.

[6]邓天钰.基于物联网的保护智能家具系统安全的新方法[J].电子

元器件与信息技术

，

2020

，

4

（

9

）：

19-20.

[7]张远晶

，

毕然.我国物联网安全及解决方案研究[J].信息通信技

术与政策

，

2019

，

45

（

2

）：

35-39.

[8]曹雷.高校信息安全保障系统的设计与实现[J].现代电子技术

，

2021

，

44

（

2

）：

81-85.

[9]龙曼丽.基于攻防博弈模型的网络信息安全防护系统设计[J].现

代电子技术

，

2021

，

44

（

4

）：

115-118.

[10]潘娟娟

，

李明.基于大数据技术的电子支付信息安全加密系统

[J].现代电子技术

，

2021

，

44

（

13

）：

71-74.

5 结 语

物联网行业的快速发展与频繁出现的安全事件让物联网

安全得到相应的重视

，

但物联网安全尚未形成成熟的商业市

场及产业规模

，

针对物联网安全风险分析以及物联网安全防

护策略的研究还在持续

。

针对物联网安全

，

还应强化相关网

络监管部门的工作职责

，

制定完善的物联网运行管理制度

，

建立有针对性的安全防护机制

，

进而逐步形成科学的防范体

系

。

未来的研究趋势是将可信计算思想与机制引入到物联网

安全体系中

，

形成自下而上各个环节的安全保障

。

参

2004

，

25

（

7

）：

10-18.

[2] LIAO K

，

CUI X X

，

LIAO N

，

et al. High-performance noninvasive

side-channel attack resistant ecc coprocessor for gf [J]. IEEE

（

2m

）

考文献

[1]冯登国

，

张阳

，

张玉清.信息安全风险评估综述[J].通信学报

，

作者简介

：

罗思源

（

1986

—），

男

，

工程师

，

西藏民族大学网络信息技术中心

，

研究方向为网络安全

、

嵌入式应用

、

物

联网开发

。

（

上接第110页

）

6 结 语

应急响应工程师可以通过一些异常现象判断网站服务器

是否被植入了WebShell

，

例如网站首页被篡改

、

植入暗链

、

安全设备报警等

。

针对WebShell植入网站服务器时的应急

响应措施

，

首先要大致定位入侵事件发生的时间

，

根据事件

发生的时间进行排查

，

在Web服务器的根目录下使用检测工

具或者命令搜索WebShell相关的关键词

，

准确定位到恶意

文件并清除

。

其次利用Web日志分析

、

系统排查

、

日志排查

、

网络流量排查等手段

，

在应用和系统层面进行溯源分析

。

最

后清除发现的WebShell并加固服务器安全

。

注

：

本文通讯作者为金京犬

。

[2]端木怡婷. WebShell检测方法研究综述[J].软件

，

2020

，

42

（

11

）：

67-69.

[3]赵运

弢，

徐春雨

，

薄波

，

等.基于流量的WebShell行为分析与检

测方法[J].网络安全技术与应用

，

2018

，

18

（

4

）：

8-9.

[4]石刘洋

，

方勇.基于Web日志的WebShell检测方法研究[J].信

息安全研究

，

2016

，

2

（

1

）：

66-73.

[5]李源

，

王运鹏

，

李涛

，

等.基于多特征融合的WebShell恶意流量

检测方法[J].网络与信息安全学报

，

2021

，

7

（

6

）：

143-154.

[6]胡建康

，

徐震

，

马多贺

，

等.基于决策树的WebShell检测方法研

究[J].网络新媒体技术

，

2012

，

33

（

6

）：

15-19.

[7]奇安信安服团队.网络安全应用响应技术实战指南[M].北京

：

中

国工信出版集团

，

2020

：

198-237.

[8]王世通.基于HTTP协议的WebShell检测研究[D].北京

：

北京

邮电大学

，

2021.

[9]韩彤.基于深度学习的WebShell检测方法的研究与实现[D].北京

：

北京邮电大学

，

2021.

[10]李时雨.基于日志的Web攻击痕迹关联分析技术研究与实现[D].

北京

：

北京邮电大学

，

2021.

参考文献

[1]何树果

，

张福

，

朱震. WebShell检测方案探索与实践[J].信息网

络安全

，

2020

，

20

（

z1

）：

141-144.

作者简介

：

朱振南

（

1983

—），

男

，

安徽六安人

，

高级工程师

，

硕士研究生

，

研究方向为通信与信息处理

、

网络安全

。

金京犬

（

1982

—），

男

，

安徽安庆人

，

教授

，

硕士研究生

，

研究方向为网络安全及应用

。

114

物联网技术

2023

年

/

第

8

期