[发明专利]一种非侵入式的webshell检测方法

说明书

本发明涉及信息安全技术领域，旨在提供一种非侵入式的webshell检测方法。该种非侵入式的webshell检测方法包括步骤：远程登录、反向挂载、本地扫描、结果记录和策略库升级。本发明使网站主机和检查平台网络在逻辑上各自独立，检测平台本身对运行网站主机没有进行任何文件的增删和修改，也无需在网站服务器进行安装，运行的结果也不会对网站服务器产生任何影响，网站主机和检查平台完全独立，仅在检测过程中，网站主机使用检测实例对本地的文件进行检测，结果输出到挂载的检测平台上。

技术领域

本发明是关于信息安全技术领域，特别涉及一种非侵入式的webshell检测方法。

背景技术

webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，对于黑客来说，它就是一种基于网页的后门。黑客成功入侵了一个网站之后，往往会将asp或php后门文件上传到网站服务器WEB目录下，和正常的网页文件混在一起，然后通过浏览器来访问asp或者php后门，得到一个命令执行环境，由此可以控制网站服务器。

WebShell后门具有隐蔽性，一般有隐藏在正常文件中并修改文件时间达到隐蔽的，还有利用服务器漏洞进行隐藏，如...目录就可以达到，站长从FTP(File TransferProtocol(文件传输协议))中找到的是含有“..”的文件夹，而且没有权限删除，还有一些隐藏的WEBSHELL，可以隐藏于正常文件带参数运行脚本后门。

webshell可以穿越服务器防火墙，由于与被控制的服务器或远程过80端口传递的，因此不会被防火墙拦截。恶意代码检测技术已经成为信息安全领域的一个重要方向，并且已经取得了非常多的研究成果。恶意代码的检测技术根据分析对象的不同主要分静态检测和动态检测两种，静态检测是对代码的文本特征进行分析，动态检测则是对代码执行行为的分析。

如上所述，检查webshell的方式就是在网站服务器本地运行检测程序进行动态或者静态检测，用来进行特征匹配，语法分析或者执行行为分析，传统的解决方案是由后台管理人员，将检查程序安装到目标网站，用人工或者自动化的的方式进行扫描，获取扫描结果，这种侵入到网站服务器的检测方式存在以下两个问题：

1、检测程序的升级问题：webshell更新传播速度很快，检测程序和特征库必须跟上webshell的更新和变化，因此需要经常性的升级，而在本地部署检测程序，对网络环境的依赖非常大，检测实例和特征库必须通过特定的网络和端口，使用在线升级的方式，从远端服务器进行升级。而网站主机的网络环境都比较复杂，为了保证安全，网站的管理经常采用防火墙，ACL进行限制。

2、对安装环境的影响：安装监测软件之后，会对生产环境产生影响，其中包括检测软件实例本身和其运行期间所产生的结果日志，很可能会干扰网站主机的正常工作，特别是在某些网站主机，会对文件更新时间进行检查，监测病毒的入侵，而检测软件本身会对这些行为产生干扰。

发明内容

本发明的主要目的在于克服现有技术中的不足，提供一种能隔离扫描程序和网站，非侵入式地解决扫描问题的webshell检测方法。为解决上述技术问题，本发明的解决方案是：

提供一种非侵入式的webshell检测方法，用于对网站服务器进行webshell检测，所述非侵入式的webshell检测方法具体包括下述步骤：

(1)远程登录：

当网站服务器运行在linux操作系统时，通过管理员手工配置，让检测平台获取网站服务器的ssh访问权限，检测平台通过ssh登录到网站服务器；

当网站服务器运行在windows操作系统时，检测平台通过telnet或者windows远程登录到网站服务器；

所述检测平台是非侵入式的webshell检测平台；检测平台和网站服务器都部署在机房内，属于机房可信区域，不会受到机房防火墙的访问限制；