[发明专利]一种非侵入式的webshell检测方法

摘要

本发明涉及信息安全技术领域，旨在提供一种非侵入式的webshell检测方法。该种非侵入式的webshell检测方法包括步骤：远程登录、反向挂载、本地扫描、结果记录和策略库升级。本发明使网站主机和检查平台网络在逻辑上各自独立，检测平台本身对运行网站主机没有进行任何文件的增删和修改，也无需在网站服务器进行安装，运行的结果也不会对网站服务器产生任何影响，网站主机和检查平台完全独立，仅在检测过程中，网站主机使用检测实例对本地的文件进行检测，结果输出到挂载的检测平台上。

主权项

1.一种非侵入式的webshell检测方法，用于对网站服务器进行webshell检测，其特征在于，所述非侵入式的webshell检测方法具体包括下述步骤：/n(1)远程登录：/n当网站服务器运行在linux操作系统时，通过管理员手工配置，让检测平台获取网站服务器的ssh访问权限，检测平台通过ssh登录到网站服务器；/n当网站服务器运行在windows操作系统时，检测平台通过telnet或者windows远程登录到网站服务器；/n所述检测平台是非侵入式的webshell检测平台；检测平台和网站服务器都部署在机房内，属于机房可信区域，不会受到机房防火墙的访问限制；/n(2)反向挂载：/n当网站服务器运行在linux操作系统时，将检测平台挂载到网站服务器的某个目录；/n当网站服务器运行在windows操作系统时，网站服务器通过使用smb或者nfs给检测平台分配一个盘符，反向挂载检测平台到网站服务器；/n网站服务器就能使用检测平台提供的检测程序和检测平台提供的特征库；/n所述检测平台提供网络挂载服务；检测平台还提供检测实例程序，检测实例程序是指webshell检测实例程序，用于检测脚本中是否含有webshell恶意代码；/n(3)本地扫描：/n指定检测目录和策略后，运行检测平台提供的检测实例程序对网站服务器进行webshell恶意代码扫描，运行结果直接通过写本地文件的方式记录在检测平台；/n(4)结果记录：/n扫描结束后，网站服务器在本地卸载检测平台，检测平台也结束ssh会话，并将步骤(3)获得的运行结果在检测平台的本地存储；/n(5)策略库升级：/n根据安全策略，对策略库进行离线升级或者在线升级。/n