[发明专利]一句话脚本后门和PHP变量函数后门免疫安全服务

说明书

技术领域

本发明属于网络安全领域，具体涉及一句话脚本后门和PHP变量函数后门免疫安全服务，用于网站脚本行为检测和拦截，能更早地发现安全问题，并做出相应的措施，防止黑客破坏。

背景技术：

黑客入侵网站后一般都会写入后门程序(webshell)，而一句话脚本后门和PHP变量函数后门更是黑客最喜欢的后门之一，因其多变和灵活，易于突破各类webshell查杀工具，让网站一直处于高风险状态，再加上常规网站也会用到这些相关的函数，因此不能完全禁用，导致后门风险长期存在。

在市场上常见的web防御产品中，最常见的方法就是通过查找文件中字符串里的关键字来查杀已知的webshell后门，尽量在后门脚本运行前清理掉，但对变种后门，因关键字少和多变等特点，从而导致webshell查杀和防御产品不容易识别和防御，使网站存在较高的安全风险。

发明内容：

本发明的目的是提供一句话脚本后门和PHP变量函数后门免疫安全服务。

在一句话脚本后门和PHP变量函数后门免疫安全服务中，当脚本执行开始时，对于无指定行为的脚本，进入无指定行为的脚本直接处理流程，直至脚本执行结束；对于有指定行为的脚本，有以下三个执行行为的检测过程：

1)    针对一句话脚本，进行一句话脚本后门的执行行为检测，此检测过程支持ASP,PHP脚本语言的检测；

2)    针对PHP变量函数，进行PHP变量函数后门的执行行为检测；

3)    针对.NET脚本，进行.NET脚本eval函数“unsafe”模式的执行行为检测；

以上检测过程正常时，脚本执行才能放行，直至脚本执行结束。

在一句话脚本后门和PHP变量函数后门免疫安全服务中，所述的有指定行为的脚本执行时，通过记录函数在当前线程内的执行过程，记录是否有触发文件操作、执行程序、数据库操作、网络通信和组件加载的API操作行为，如有所述的API操作行为，就可以判定为黑客的后门行为，立即禁止脚本继续执行，达到免疫的目的，也可以只做记录处理，让管理员尽早发现问题。

在一句话脚本后门和PHP变量函数后门免疫安全服务中，所述的有指定行为的脚本执行时，通过PHP变量函数的字符定位到函数时，进行检测是否为禁止通过的函数名，如果“是”将跳过函数执行或做行为记录，“否”时放行。

在一句话脚本后门和PHP变量函数后门免疫安全服务中，所述的有指定行为的脚本执行时，经过.NET脚本eval函数“unsafe”模式的执行行为检测，通过禁止eval函数的 “unsafe” 模式，就能达到eval函数一句话脚本后门的免疫功能。

本发明可以很好地克服常规web防御产品通过静态文件查杀一句话脚本和变量函数后门的弊端，通过执行的行为来进行识别，能有效和高效的地识别出一句话脚本后门和PHP变量函数后门的行为，并能防范后门的破坏，保障网站的安全和正常运行，同时又不影响脚本执行的效率，是网站高效运行和保障网站安全的理想方式。

附图说明：

图1为本发明的总体免疫防御框架。

图2为本发明所述的一句话脚本后门的执行行为检测过程。

图3 为PHP变量函数后门的默认执行过程。

图4 为本发明所述的PHP变量函数后门的执行检测过程。

具体实施方式：

一句话脚本后门是指使用脚本支持字符串作为代码执行的函数，也是执行黑客功能的后门代码，而这代码可以非常简单，所以常被叫 “一句话后门”。常见的语言PHP、ASP、ASPX等脚本语言都支持把字符串作为代码执行的函数。如PHP有eval, preg_replace, assert, array_map, call_user_func, create_function, call_user_func_array函数；ASP脚本有 eval,execute,ExecuteGlobal函数；ASPX有 eval 函数。

如上的函数都可以成为一句话脚本后门的函数，为了便于讲述，把如上函数称作“一句话函数”。一句话函数,并不一定就是后门，因为这些函数会在大量网站中使用。

简单的一句话脚本后门如下：

PHP一句话脚本后门:

<?php @eval($_POST['pass']);?>

ASP一句话脚本后门: