网络安全分析 | 用OpenFEA定位WebShell木马后门

webshell是什么？它是以asp、PHP、jsp或者cgi等网页文件形式存在的一种命令执行环境，也能够将其称作为一种网页后门。黑客在入侵一个网站后，一般会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一块儿，而后就可使用浏览器来访问asp或者php后门，获得一个命令执行环境，以达到控制网站服务器的目的。

出于网站安全防御目的，网络安全分析专家们老是极力根据一些线索找到webshell，从而采起措施。可是，有防就有攻，黑客也会想尽一切办法去隐藏他的webshell，让安全专家找不到。黑客经常使用的隐藏方法跟检测方法相对应。好比，经过特征匹配的方式去发现webshell，黑客通常经过字符异或、回避、拆分、编码等方式绕过检测。

为了提升网络安全程度，OpenFEA开发了一个安全分析模型，帮助网络安全从业者进行webshell扫描，自查网站是否存在webshell等。

如下是咱们运用此模型分析出的webshell URL、webshell 密码。

1、top 10的webshell URL

在某客户现场经过OpenFEA分析工具，对全网数据进行了提取分析，发现6例隐藏许久的webshell。对其余不存在（返回404等异常返回码）的webshell爬取行为进行解码、分析、统计，发现webshell爬取行为涉及的的url共计171个，图中取了top10进行展现：

在top10中，plus/90sec.php、plus/mytag_js.php、plus/ad_js.php、plus/laobiao.php、plus/e7xue.php、plus/spider.php、plus/mybak.php都与DEDE织梦系统有关系。

排名第三的/utility/convert/data/config.inc.php属于discuz系统。

2、登录webshell使用的密码

登录webshell使用的密码共计223个。

webshell密码中简单密码（位数低于六位，而且所有由数字或字母构成）占比很高，达到69%。

以上是运用基于OpenFEA构建的网络安全分析模型，得出的webshell URL、webshell 密码。看来起分析结果很强大吧，但得益于OpenFEA的支持，它的分析原理却异常简单。

经过采集大量webshell访问数据，主要采用对访问请求的特征与webshell访问行为模型结合匹配，来肯定哪些访问属于webshell访问，再经过该请求对应的返回码，肯定在系统中是否存在webshell。最终，对webshell访问请求中的post数据和url对象进行解析，对常见的webshell地址、经常使用密码进行了统计、总结。

如此强大的模型，由两部分组成：

1、访问行为模型

由url访问次数、访问规律、访问来源、页面、访问返回码等组成。

url访问次数：访问总量不多

访问规律：短时间内规律，长期无规律，以下次访问可能在2个月后

访问来源：与访问业务的IP相比，webshell源IP很是集中

页面：孤链

访问返回码：200 OK

2、webshell扫描器访问行为模型

由url访问次数、访问规律、访问来源、页面、访问返回码等组成。

url访问次数：访问总量不多

访问规律：一般会访问多个url，而且只进行访问

访问来源：与访问业务的IP相比，webshell源IP很是集中

页面：孤链

访问返回码：404等异常状态

访问行为分析在大量访问日志下，对分析工具的处理能力要求很高，本次检测结果基于OpenFea大数据分析工具实现，须要文中涉及的webshell url和密码数据的亲们，请关注咱们的微信公众号openfea，发送关键字“openfea”，将微信自动回复的文章“OpenFEA面授课程教学计划”转发到您的朋友圈后，将分享成功的截图发送至邮箱fea@hzhz.co便可得到，先到先得哦！