CN112118089B - 一种webshell监控方法及系统 - Google Patents
一种webshell监控方法及系统 Download PDFInfo
- Publication number
- CN112118089B CN112118089B CN202010984068.3A CN202010984068A CN112118089B CN 112118089 B CN112118089 B CN 112118089B CN 202010984068 A CN202010984068 A CN 202010984068A CN 112118089 B CN112118089 B CN 112118089B
- Authority
- CN
- China
- Prior art keywords
- command
- signature
- monitored
- webshell
- hash value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种webshell监控方法及系统,属于网络安全技术领域。本发明提供了一种webshell监控方法及系统,通过使用windows内核驱动的方式实时监控系统命令的执行,并通过命令的调用关系来识别与监控,记录系统中webshell后门。本发明使用windows分层驱动模型,将自身插入cmd与powershell的内核引擎的驱动栈上,拦截系统命令执行。本发明使用对命令以私有密钥进行签名的方式,来区分通过webshell进行正常的网站维护与服务器管理操作与恶意的webshell利用,减少了误报。同时,本发明对采用私有密钥签名的命令进行base64编码,增加了webshell监测的可靠性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种webshell监控方法及系统。
背景技术
webshell中,web指的是web服务器,而shell是用脚本语言编写的脚本程序,webshell就是web的一个管理工具,可以对web服务器进行操作的权限。webshell是以asp、php、jsp或者cgi等网页文件形式存在于web服务器上的一种代码执行环境,webshell一般是被网站管理员用于网站管理、服务器管理等等一些用途,但是由于webshell的功能比较强大,可以上传下载文件,查看数据库,甚至可以调用一些服务器上系统的相关命令(比如创建用户,修改删除文件之类的),通常被黑客利用,黑客通过一些上传方式,将自己编写的webshell上传到web服务器的页面的目录下,然后通过页面访问的形式进行入侵,或者通过插入一句话连接本地的一些相关工具直接对服务器进行入侵操作。
webshell可以被站长用作管理网站、服务器的方式,也可以被攻击者当作入侵网站后对网站持续控制的一种手段,所以webshell可以看作是一把双刃剑,如果不对其进行有效的控制,对网络安全产生巨大的危险。
由于webshell使用web服务器端与外部交互,因此不会被防火墙拦截所以具有很强的网络穿透能力,在没有记录流量的情况下,webshell使用post包发送,也不会被记录在系统日志中,只会在web日志中记录一些数据提交的记录。
由于webshell可以隐藏在正常的网页文件中,具有很强的隐蔽性,目前针对webshell的检测技术主要依靠基于特征匹配的黑名单技术,但是这些技术都需要依赖于特征进行计算,容易产生误报。
中国专利申请文献CN107689940A中,公开了一种webshell检测方法,该方法包括:检测服务器与客户端之间的流量数据,以判断流量数据中是否存在具有webshell特征或webshell行为特征的可疑数据,其中,若检测的流量数据中存在具有webshell特征的可疑数据,则确定该流量数据中存在webshell;若流量数据中存在具有webshell行为特征的可疑数据,则分析该可疑数据所对应的webshell行为特征,并根据分析结果,判断该流量数据中是否存在webshell。该方法依赖于特征进行判断,容易产生误报。
中国专利申请文献CN107770133A中,公开了一种适应性webshell检测系统,其检测系统包括静态间隔扫描、实时扫描、旁路检测三大模块,其中静态间隔扫描的实施步骤和方式为:(1)分析服务器是否运行了web服务器,如果没有运行web服务直接结束;(2)对有web服务的进行清点,来读取web服务器配置文件,获取web服务器相关信息,包括:站点个数、站点路径、域名或者端口号;(3)对服务器上所配置的所有站点路径下的全部脚本文件进行扫描,针对相关的策略进行扫描;(4)为了增强扫描的有效性以及效率,会记录每次扫描的时间,在下一次扫描的时候,只会扫描新增的部分文件以及之前判定为是webshell的文件;实时扫描的实施步骤和方式为:(1)分析服务器是否运行了web服务器,如果没有运行web服务直接结束;(3)对所有web站点的目录进行实时监控,如果发现新增的文件或者目录直接触发扫描动作;(4)对新增的脚本文件进行扫描,针对相关策略进行扫描,扫描策略和静态间隔扫描相同;旁路检测的主要方式就是检测请求文件的文件名以及路径以及文件本身的来实现的,以及服务器的响应信息也是参考。其中静态间隔扫描和实时扫描的扫描策略为:首先判断是否匹配严格正则,是则上报为webshell,否则继续检测是否匹配宽泛正则,如果不匹配宽泛正则,则判断是否沙箱检测为webshell,如果沙箱检测为webshell,则上报为webshell,如果不是则结束扫描;如果匹配宽泛正则,判断是否匹配MD5病毒库,如果匹配MD5病毒库则上报为webshell,如果不匹配,则检测是否达到模糊度匹配阙值,若达到模糊度匹配阙值,则上报为webshell,如果没有达到,则继续检测是否匹配威胁情报,如果匹配,则上报为webshell,如果不匹配,继续检测机器学习结果是否为负,机器学习结果为负,则上报为webshell并结束扫描,否则直接结束扫描。该系统通过对预设的正则、特征值等进行匹配检测,容易产生误报。
现有技术至少存在以下不足:
1.由于基于特征值的检测方式属于静态检测完全依赖特征库的覆盖面,可以通过变形、加密和编码来规避检测,可能由于特征值的冲突带来误报的风险。
发明内容
为解决现有技术中存在的技术问题,本发明提供了一种webshell监控方法及系统,通过使用windows内核驱动的方式实时监控系统命令(以cmd和powershell为载体的命令)的执行,并通过命令的调用关系来识别与监控,记录系统中webshell后门。本发明使用windows分层驱动模型,将自身插入cmd与powershell的内核引擎的驱动栈上,拦截系统命令执行。为减少目前webshell检测方案所存在的误报,本发明使用对命令以私有密钥进行签名的方式,来区分通过webshell进行正常的网站维护与服务器管理操作与恶意的webshell利用。同时,本发明对采用私有密钥签名的命令进行base64编码,增加了webshell监测的可靠性,改善了误报率。
本发明提供了一种webshell监控方法,应用于至少包括一台安装有windows操作系统的web服务器和一个客户端的网络系统,包括以下步骤:
签名及编码步骤,
客户端计算所需执行命令和参数的hash值;所述客户端为与web服务器的服务端达成私有密钥协议的客户端;
客户端对所需执行的命令和参数的hash值,通过预定义的私有密钥计算出签名;
客户端对计算出的签名进行编码;
将编码后的签名附加在所需执行的命令中;
通过webshell,将附加了编码后的签名的所需执行的命令,发送到所述web服务器;webshell监控步骤,
所述web服务器通过编写的监控驱动程序监测到命令执行的请求;
所述web服务器分析上下文环境,检测所需监控的服务端程序;
当检测到所需监控的服务端程序时,尝试从监控到的命令中提取出签名,
如果提取签名成功,执行签名对比步骤;
如果提取签名失败,跳转到命令拦截步骤;
签名对比步骤,
所述web服务器从监控到的命令中提取监控到的命令和参数的hash值;
所述web服务器计算出监控到的命令和参数的hash值;
所述web服务器将从监控到的命令中提取出的hash值与计算出的hash值进行对比;
根据从监控到的命令中提取出的hash值与计算出的hash值的对比结果,判断是否对命令放行:
如果提取出的hash值与计算出的hash值匹配,则对监控到的命令放行,执行该命令;
否则,执行命令拦截步骤;
命令拦截步骤,
阻断该命令,或阻断该命令并生成日志记录。
优选地,在签名及编码步骤中,将编码后的签名以命令的参数的形式附加在所需执行的命令中。
优选地:
在签名及编码步骤中,客户端使用sha256算法计算所需执行的命令和参数的hash值;
在签名及编码步骤中,客户端对所需执行的命令和参数的hash值,通过预定义的私有密钥使用RSA算法计算出签名;
在签名及编码步骤中,客户端使用base64编码对计算出的签名进行编码。
优选地,在签名对比步骤中,所述web服务器从监控到的命令中提取监控到的命令和参数的hash值,包括如下步骤:
S401:所述web服务器使用base64编码对提取出的签名进行解码,得到利用所述私有密钥签名的该命令和参数的hash值;
S402:所述web服务器利用所述私有密钥对应的公共密钥使用RSA算法提取监控到的命令与参数的hash值。
优选地,在签名对比步骤中,根据监控到的命令和参数,利用sha256算法计算出监控到的命令和参数的hash值。
优选地,还包括,在签名对比步骤中,在执行命令前,由监控驱动程序将附加的签名从命令中剔除。
优选地,在webshell监控步骤中,分析上下文环境,检测所需监控的服务端程序包括:
分析cmd或powershell所处的进程链,获取cmd或powershell所在进程链的起点;
根据cmd或powershell所在进程链的起点,获取所需监控的服务端程序:
当cmd或powershell所在进程链的起点为iis时,判断为webshell服务;
当cmd或powershell所在进程链的起点为explorer.exe时,判断为本地操作。
本发明提供了一种webshell监控系统,至少包括一台安装有windows操作系统的web服务器和一个客户端,还包括:
签名模块,计算所需执行的命令的hash值,并对命令的hash值采用私有密钥进行签名;
编码模块,对采用私有密钥签名的命令进行编码,并将编码后的签名附加到命令中;
通信模块,将附加了编码后的签名的命令发送到服务器;
webshell监控模块,执行如下操作,
监控命令的执行;
分析上下文环境并检测服务端程序;
当检测到所需监控的服务端程序时,尝试从监控到的命令中提取签名,并将提取的结果传输给签名对比模块;
签名对比模块,执行如下操作,
若提取签名成功,
通过公有密钥提取监控到的命令和参数的hash值;
计算监控到的命令和参数的hash值;
将提取的监控到的命令和参数的hash值与计算出的监控到的命令和参数的hash值进行对比,将结果传输给控制模块;
控制模块,根据从签名对比模块接收的结果,对命令进行放行、阻断或生成日志记录。
优选地:
签名模块使用sha256算法计算所需执行的命令和参数的hash值;
签名模块对所需执行的命令和参数的hash值,通过预定义的私有密钥使用RSA算法计算签名;
编码模块使用base64编码对计算出的签名进行编码;
签名对比模块,使用sha256算法计算监控到的命令和参数的hash值;使用base64编码对提取的签名进行解码,然后通过公有密钥使用RSA算法提取出监控到的命令和参数的hash值。
优选地,所述控制模块,根据从签名对比模块接收的结果,执行不同操作:
当提取的签名与计算出的签名匹配时,放行该命令;
当提取的签名与计算出的签名不匹配或者提取签名失败时,阻断该命令或生成日志记录。
与现有技术相对比,本发明的有益效果如下:
1.本发明通过以驱动方式对webshell执行的系统命令进行监控,并辅以使用私有密钥进行签名的方式,可以有效提升针对webshell检测力度并减少误报率。
2.本发明通过使用私有密钥对命令进行签名,并经过base64编码,区分合法用户通过webshell进行的网站正常维护与恶意非法用户的webshell,不依赖webshell相关特征,有效解决目前webshell检测方法中的监测检测粒度不足与对未知、变形特征无法识别的问题。
附图说明
图1是本发明webshell监控系统框图;
图2是本发明webshell监控方法流程图。
具体实施方式
下面结合附图1-2,对本发明的具体实施方式作详细的说明。
本发明提供了一种webshell监控方法,应用于至少包括一台安装有windows操作系统的web服务器和一个客户端的网络系统,包括以下步骤:
签名及编码步骤,
客户端计算所需执行命令和参数的hash值;所述客户端为与web服务器的服务端达成私有密钥协议的客户端;比如,在创建用户的命令:net user test 123456/add中,net是命令,user test 123456/add是参数,命令加参数构成一条完整的命令;因此本方案中需要同时计算命令和参数的hash值;
客户端对所需执行的命令和参数的hash值,通过预定义的私有密钥计算出签名;
客户端对计算出的签名进行编码;
将编码后的签名附加在所需执行的命令中;
通过webshell,将附加了编码后的签名的所需执行的命令,发送到所述web服务器;webshell监控步骤,
所述web服务器通过编写的监控驱动程序监测到命令执行的请求;
所述web服务器分析上下文环境,检测所需监控的服务端程序;主要是根据进程的路径和进程名进行检测;
当检测到所需监控的服务端程序时,尝试从监控到的命令中提取出签名,
如果提取签名成功,执行签名对比步骤;
如果提取签名失败,跳转到命令拦截步骤;
签名对比步骤,
所述web服务器从监控到的命令中提取监控到的命令和参数的hash值;
所述web服务器计算出监控到的命令和参数的hash值;
所述web服务器将从监控到的命令中提取出的hash值与计算出的hash值进行对比;
根据从监控到的命令中提取出的hash值与计算出的hash值的对比结果,判断是否对命令放行:
如果提取出的hash值与计算出的hash值匹配,则对监控到的命令放行,执行该命令;
否则,执行命令拦截步骤;
命令拦截步骤,
阻断该命令,或阻断该命令并生成日志记录。本发明中,基于白名单模式的,所以正常的用户访问是一定带有正确的签名的,对于非正常访问都会进行拦截;
命令执行的监控、签名的校验、日志的记录以及命令的拦截与阻断均由编写的监控驱动完成。
作为优选实施方式,在签名及编码步骤中,将编码后的签名以命令的参数的形式附加在所需执行的命令中。
作为优选实施方式:
在签名及编码步骤中,客户端使用sha256算法计算所需执行的命令和参数的hash值;
在签名及编码步骤中,客户端对所需执行的命令和参数的hash值,通过预定义的私有密钥使用RSA算法计算出签名;
在签名及编码步骤中,客户端使用base64编码对计算出的签名进行编码。
本方案采用的是使用sha256对命令行计算出hash,再使用RSA对其签名,最后使用base64都进行编码,参数计算过程中所涉及只有输入需要执行的命令与私钥两个参数。
在私有密钥不被泄露的情况下攻击者无法利用;
进行base64编码是因为签名过程计算出的签名是一串二进制数据,如果直接以二进制形式的签名附加在命令后面可能会在服务器处理时被截断,进而采用base64进行编码。
使用base64目的是在于在签名编码为可见字符,防止在服务器处理时被截断而导致的信息不完整。
以上签名及编码计算过程,可以通过下面的表达式来描述:
sig=BASE64(RSA(SHA256(cmd),key));
计算过程如下:
hash=sha256(cmd);
sig=RSASign(hash);
sig=base64encode(sig)。
作为优选实施方式,在签名对比步骤中,所述web服务器从监控到的命令中提取监控到的命令和参数的hash值,包括如下步骤:
S401:所述web服务器使用base64编码对提取出的签名进行解码,得到利用所述私有密钥签名的该命令和参数的hash值;
S402:所述web服务器利用所述私有密钥对应的公共密钥使用RSA算法提取监控到的命令与参数的hash值。
作为优选实施方式,在签名对比步骤中,根据监控到的命令和参数,利用sha256算法计算出监控到的命令和参数的hash值。
客户端发送到web服务器的命令中的签名数据中不附带私有密钥,根据RSA算法原理,客户端采用私有密钥进行签名,服务器是必须使用与私有密钥配套的公有密钥来验证签名的,服务器的签名验证所需公有密钥在部署阶段与监控驱动程序一起部署在web服务器上了。服务器验证阶段不存在解码过程。
作为优选实施方式,还包括,在签名对比步骤中,在执行命令前,由监控驱动程序将附加的签名从命令中剔除。
签名是以base64编码后的字符串附加在命令后面的,在最终执行命令之前会由监控驱动将签名从命令中剔除。
作为优选实施方式,在webshell监控步骤中,分析上下文环境,检测所需监控的服务端程序包括:
分析cmd或powershell所处的进程链,获取cmd或powershell所在进程链的起点;
根据cmd或powershell所在进程链的起点,获取所需监控的服务端程序:
当cmd或powershell所在进程链的起点为iis时,判断为webshell服务;
当cmd或powershell所在进程链的起点为explorer.exe时,判断为本地操作。
webshell在服务器上通过cmd/c xxxx的方式来执行命令,其中“xxxx”为命令名称,所以编写的监控驱动程序会监控系统cmd进程的运行,如果监测到cmd进程运行,则通过cmd的创建者进行向上回溯来检测,给该进行是否由web服务器进程所发起,如果是由web服务器进程启动的,则尝试获取cmd进程的启动参数并进行校验。
进程链可以理解为:如果A进程创建B进程,B进程再创建C进程,以此类推,这样就组成如A——>B——>C这样一个进程链条。
iis是基于windows上web服务端,由于webshell执行环境是依托于web服务程序之上的,所以通过检测进程链起点是否为iis等web服务程序用来判断命令是否由webshell所执行。
当cmd或powershell所在进程链的起点为iis时,判断为webshell服务;
当cmd或powershell所在进程链的起点为explorer.exe时,判断为本地操作。
本发明提供了一种webshell监控系统,至少包括一台安装有windows操作系统的web服务器和一个客户端,还包括:
签名模块,计算所需执行的命令的hash值,并对命令的hash值采用私有密钥进行签名;
编码模块,对采用私有密钥签名的命令进行编码,并将编码后的签名附加到命令中;
通信模块,将附加了编码后的签名的命令发送到服务器;
webshell监控模块,执行如下操作,
监控命令的执行;
分析上下文环境并检测服务端程序;主要是根据进程的路径和进程名进行检测;
当检测到所需监控的服务端程序时,尝试从监控到的命令中提取签名,并将提取的结果传输给签名对比模块;
签名对比模块,执行如下操作,
若提取签名成功,
通过公有密钥提取监控到的命令和参数的hash值;
计算监控到的命令和参数的hash值;
将提取的监控到的命令和参数的hash值与计算出的监控到的命令和参数的hash值进行对比,将结果传输给控制模块;
控制模块,根据从签名对比模块接收的结果,对命令进行放行、阻断或生成日志记录。
作为优选实施方式:
签名模块使用sha256算法计算所需执行的命令和参数的hash值;
签名模块对所需执行的命令和参数的hash值,通过预定义的私有密钥使用RSA算法计算签名;
编码模块使用base64编码对计算出的签名进行编码;
签名对比模块,使用sha256算法计算监控到的命令和参数的hash值;使用base64编码对提取的签名进行解码,然后通过公有密钥使用RSA算法提取出监控到的命令和参数的hash值。
作为优选实施方式,所述控制模块,根据从签名对比模块接收的结果,执行不同操作:
当提取的签名与计算出的签名匹配时,放行该命令;
当提取的签名与计算出的签名不匹配或者提取签名失败时,阻断该命令或生成日志记录。
在客户端将需要执行的命令发送到web服务器之前,先由签名模块对需要执行的命令进行hash值计算并进行签名,然后交由编码模块进程编码,编码完成后通过通信模块发送到web服务器交由服务器执行,web服务器接收到命令后,将会通过创建cmd进程来执行命令,当cmd进程创建时,会由webshell监控模块进行拦截,并由签名对比模块对命令签名进行验证,验证通过的才会继续执行该命令;验证不通过的,命令就会被阻断或生成日志记录。
实施例1
参照附图1-2,根据本发明的一个具体实施方案,以ipconfig/all命令为例,对本发明提供的webshell监控方法和系统进行详细说明。
本发明提供了一种webshell监控方法,应用于至少包括一台安装有windows操作系统的web服务器和一个客户端的网络系统,包括以下步骤:
签名及编码步骤,
客户端使用sha256算法计算所需执行的命令和参数的hash值;所述客户端为与web服务器的服务端达成私有密钥协议的客户端;比如,所需执行的命令为ipconfig/all,则通过sha256算法计算的hash值为59cb534e2a16fd3d21d1ba5d34ee15e665d7a955751171249563d1192aa33e4。
客户端对所需执行的命令和参数的hash值,通过预定义的私有密钥使用RSA算法计算出签名;对于所需执行的命令为ipconfig/all时,计算出的签名为b561cc8322608ed5c1469fb0d0bb6754ee550749014d7f18e41eaaadf5794ec42e75b176924939da4afbaec24ebc998aa9a97bb8884f53fa42f7106e75b8fd663ba8c9b3b52ba83c98bf5c386aabe37c7fb77d15647beb06c5fa22789444cb1e81c9fb667fe6174e7a497823cddd3d5b851f2415df8b77b85c635f2。
客户端使用base64编码对计算出的签名进行编码;对于所需执行的命令为ipconfig/all时,编码后的签名为:
tWHMgyJgjtXBRp+w0Au2dU7lUHSQFNfxjkHqqt9XCU7ELnWxdpJJOdpK+67CTryZiqmpe7iIT1P6QvcQbnW4/QZjuoybO1K6g8mL9cMIaqvjfH+3fQFWR76wbF+iJ4lETLHoHJ8LZn/mAXTnpJeCPN3T1bhR8gQV34t3uFwGNfI=。
以上签名及编码计算过程,可以通过下面的表达式来描述:
sig=BASE64(RSA(SHA256(cmd),key));
计算过程如下:
hash=sha256(cmd);
sig=RSASign(hash);
sig=base64encode(sig)。
比如,对于ipconfig/all命令,利用sig(key,“ipconfig/all”)函数计算出签名,然后使用base64编码对计算出的签名进行编码;base64编码是编码是从二进制到字符的过程,可用于在HTTP环境下传递较长的标识信息。采用base64编码具有不可读性,需要解码后才能阅读。使用base64目的是在于在签名编码为可见字符,防止在服务器处理时被截断而导致的信息不完整。
将编码后的签名附加在所需执行的命令中;此处可以将编码后的签名以命令的参数的形式附加在所需执行的命令中。比如,对于ipconfig/all命令,编码后的签名tWHMgyJgjtXBRp+w0Au2dU7lUHSQFNfxjkHqqt9XCU7ELnWxdpJJOdpK+67CTryZiqmpe7iIT1P6QvcQbnW4/QZjuoybO1K6g8mL9cMIaqvjfH+3fQFWR76wbF+iJ4lETLHoHJ8LZn/mAXTnpJeCPN3T1bhR8gQV34t3uFwGNfI=,以“ipconfig/ip/csig=tWHMgyJgjtXBRp+w0Au2dU7lUHSQFNfxjkHqqt9XCU7ELnWxdpJJOdpK+67CTryZiqmpe7iIT1P6QvcQbnW4/QZjuoybO1K6g8mL9cMIaqvjfH+3fQFWR76wbF+iJ4lETLHoHJ8LZn/mAXTnpJeCPN3T1bhR8gQV34t3uFwGNfI=”的形式附加到命令中,其中“tWHMgyJgjtXBRp+w0Au2dU7lUHSQFNfxjkHqqt9XCU7ELnWxdpJJOdpK+67CTryZiqmpe7iIT1P6QvcQbnW4/QZjuoybO1K6g8mL9cMIaqvjfH+3fQFWR76wbF+iJ4lETLHoHJ8LZn/mAXTnpJeCPN3T1bhR8gQV34t3uFwGNfI=”为编码后的签名,即sig的内容。
通过webshell,将附加了编码后的签名的所需执行的命令,发送到所述web服务器;webshell监控步骤,
所述web服务器通过编写的监控驱动程序监测到命令执行的请求;
所述web服务器分析上下文环境,检测所需监控的服务端程序;
分析上下文环境,检测所需监控的服务端程序包括:
分析cmd或powershell所处的进程链,获取cmd或powershell所在进程链的起点;
根据cmd或powershell所在进程链的起点,获取所需监控的服务端程序:
当cmd或powershell所在进程链的起点为iis时,判断为webshell服务;
当cmd或powershell所在进程链的起点为explorer.exe时,判断为本地操作。
当检测到所需监控的服务端程序时,尝试从监控到的命令中提取出签名,提取出的编码后的签名为:
tWHMgyJgjtXBRp+w0Au2dU7lUHSQFNfxjkHqqt9XCU7ELnWxdpJJOdpK+67CTryZiqmpe7iIT1P6QvcQbnW4/QZjuoybO1K6g8mL9cMIaqvjfH+3fQFWR76wbF+iJ4lETLHoHJ8LZn/mAXTnpJeCPN3T1bhR8gQV34t3uFwGNfI=
如果提取签名成功,执行签名对比步骤;
如果提取签名失败,跳转到命令拦截步骤;
签名对比步骤,
所述web服务器从监控到的命令中提取监控到的命令和参数的hash值;
具体包括如下步骤:
S401:所述web服务器使用base64编码对提取出的签名进行解码,得到利用所述私有密钥签名的该命令和参数的hash值,59cb534e2a16fd3d21d1ba5d34ee15e665d7a955751171249563d1192aa33e4;
S402:所述web服务器利用所述私有密钥对应的公共密钥使用RSA算法提取监控到的命令与参数的hash值
所述web服务器计算出监控到的命令和参数的hash值;在签名对比步骤中,根据监控到的命令和参数,利用sha256算法计算出监控到的命令和参数的hash值;对于命令ipconfig/all,hash值为59cb534e2a16fd3d21d1ba5d34ee15e665d7a955751171249563d1192aa33e4
所述web服务器将从监控到的命令中提取出的hash值与计算出的hash值进行对比;
根据从监控到的命令中提取出的hash值与计算出的hash值的对比结果,判断是否对命令放行:
如果提取出的hash值与计算出的hash值匹配,则对监控到的命令放行,执行该命令;
此时,对比结果显示从监控到的命令中提取出的hash值与计算出的hash值匹配,则执行该命令;在执行命令前,由监控驱动程序将附加的签名从命令中剔除。签名是以base64编码后的字符串附加在命令后面的,在最终执行命令之前会由监控驱动将签名从命令中剔除。
否则,执行命令拦截步骤;
命令拦截步骤,
阻断该命令,或阻断该命令并生成日志记录。
命令执行的监控、签名的校验、日志的记录以及命令的拦截与阻断均由编写的监控驱动完成。
本发明提供了一种webshell监控系统,至少包括一台安装有windows操作系统的web服务器和一个客户端,还包括:
签名模块,计算所需执行的命令的hash值,并对命令的hash值采用私有密钥进行签名;
签名模块使用sha256算法计算所需执行的命令和参数的hash值;对于ipconfig/all命令,通过sha256算法计算的hash值为59cb534e2a16fd3d21d1ba5d34ee15e665d7a955751171249563d1192aa33e4;
签名模块对所需执行的命令和参数的hash值,通过预定义的私有密钥使用RSA算法计算签名;对于ipconfig/all命令,利用sig(key,“ipconfig/all”)函数计算出的签名为:b561cc8322608ed5c1469fb0d0bb6754ee550749014d7f18e41eaaadf5794ec42e75b176924939da4afbaec24ebc998aa9a97bb8884f53fa42f7106e75b8fd663ba8c9b3b52ba83c98bf5c386aabe37c7fb77d15647beb06c5fa22789444cb1e81c9fb667fe6174e7a497823cddd3d5b851f2415df8b77b85c635f2;
编码模块,对采用私有密钥签名的命令进行编码,并将编码后的签名附加到命令中;编码模块使用base64编码对计算出的签名进行编码;对于ipconfig/all命令,编码后的签名为“tWHMgyJgjtXBRp+w0Au2dU7lUHSQFNfxjkHqqt9XCU7ELnWxdpJJOdpK+67CTryZiqmpe7iIT1P6QvcQbnW4/QZjuoybO1K6g8mL9cMIaqvjfH+3fQFWR76wbF+iJ4lETLHoHJ8LZn/mAXTnpJeCPN3T1bhR8gQV34t3uFwGNfI=”,附加了编码后的签名的命令形式为“ipconfig/all/csig=tWHMgyJgjtXBRp+w0Au2dU7lUHSQFNfxjkHqqt9XCU7ELnWxdpJJOdpK+67CTryZiqmpe7iIT1P6QvcQbnW4/QZjuoybO1K6g8mL9cMIaqvjfH+3fQFWR76wbF+iJ4lETLHoHJ8LZn/mAXTnpJeCPN3T1bhR8gQV34t3uFwGNfI=”;
通信模块,将附加了编码后的签名的命令发送到服务器;
webshell监控模块,执行如下操作,
监控命令的执行;
分析上下文环境并检测服务端程序;对于ipconfig/all命令,webshell监控模块分析上下文的进程环境等内容,同时通过父进程名检测服务端程序,包括iis等服务端程序;
当检测到所需监控的服务端程序时,尝试从监控到的命令中提取签名,并将提取的结果传输给签名对比模块;webshell模块从监控到的命令ipconfig中提取出签名,提取出的签名即为编码后的签名tWHMgyJgjtXBRp+w0Au2dU7lUHSQFNfxjkHqqt9XCU7ELnWxdpJJOdpK+67CTryZiqmpe7iIT1P6QvcQbnW4/QZjuoybO1K6g8mL9cMIaqvjfH+3fQFWR76wbF+iJ4lETLHoHJ8LZn/mAXTnpJeCPN3T1bhR8gQV34t3uFwGNfI=;
签名对比模块,执行如下操作,
若提取签名成功,
通过公有密钥提取监控到的命令和参数的hash值;
计算监控到的命令和参数的hash值;
将提取的监控到的命令和参数的hash值与计算出的监控到的命令和参数的hash值进行对比,将结果传输给控制模块;
签名对比模块,使用sha256算法计算监控到的命令和参数的hash值,对于命令ipconfig/all,hash值为59cb534e2a16fd3d21d1ba5d34ee15e665d7a955751171249563d1192aa33e4;使用base64编码对提取的签名进行解码,然后通过公有密钥使用RSA算法提取出监控到的命令和参数的hash值,对于命令ipconfig/all,hash值为:
59cb534e2a16fd3d21d1ba5d34ee15e665d7a955751171249563d1192aa33e4;
控制模块,根据从签名对比模块接收的结果,对命令进行放行、阻断或生成日志记录。
所述控制模块,根据从签名对比模块接收的结果,执行不同操作:
当提取的签名与计算出的签名匹配时,放行该命令;
当提取的签名与计算出的签名不匹配或者提取签名失败时,阻断该命令或生成日志记录。
在客户端将需要执行的命令发送到web服务器之前,先由签名模块对需要执行的命令进行hash值计算并进行签名,然后交由编码模块进程编码,编码完成后通过通信模块发送到web服务器交由服务器执行,web服务器接收到命令后,将会通过创建cmd进程来执行命令,当cmd进程创建时,会由webshell监控模块进行拦截,并由签名对比模块对命令签名进行验证,验证通过的才会继续执行该命令;验证不通过的,命令就会被阻断或生成日志记录。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均包含在本发明的保护范围之内。
Claims (10)
1.一种webshell监控方法,应用于至少包括一台安装有windows操作系统的web服务器和一个客户端的网络系统,其特征在于,包括以下步骤:
签名及编码步骤,
客户端计算所需执行命令和参数的hash值;所述客户端为与web服务器的服务端达成私有密钥协议的客户端;
客户端对所需执行的命令和参数的hash值,通过预定义的私有密钥计算出签名;
客户端对计算出的签名进行编码;
将编码后的签名附加在所需执行的命令中;
通过webshell,将附加了编码后的签名的所需执行的命令,发送到所述web服务器;
webshell监控步骤,
所述web服务器通过编写的监控驱动程序监测到命令执行的请求;
所述web服务器分析上下文环境,检测所需监控的服务端程序;
当检测到所需监控的服务端程序时,尝试从监控到的命令中提取出签名,
如果提取签名成功,执行签名对比步骤;
如果提取签名失败,跳转到命令拦截步骤;
签名对比步骤,
所述web服务器从监控到的命令中提取监控到的命令和参数的hash值;
所述web服务器计算出监控到的命令和参数的hash值;
所述web服务器将从监控到的命令中提取出的hash值与计算出的hash值进行对比;
根据从监控到的命令中提取出的hash值与计算出的hash值的对比结果,判断是否对命令放行:
如果提取出的hash值与计算出的hash值匹配,则对监控到的命令放行,执行该命令;
否则,执行命令拦截步骤;
命令拦截步骤,
阻断该命令,或阻断该命令并生成日志记录。
2.根据权利要求1所述的webshell监控方法,其特征在于,在签名及编码步骤中,将编码后的签名以命令的参数的形式附加在所需执行的命令中。
3.根据权利要求1所述的webshell监控方法,其特征在于:
在签名及编码步骤中,客户端使用sha256算法计算所需执行的命令和参数的hash值;
在签名及编码步骤中,客户端对所需执行的命令和参数的hash值,通过预定义的私有密钥使用RSA算法计算出签名;
在签名及编码步骤中,客户端使用base64编码对计算出的签名进行编码。
4.根据权利要求3所述的webshell监控方法,其特征在于,在签名对比步骤中,所述web服务器从监控到的命令中提取监控到的命令和参数的hash值,包括如下步骤:
S401:所述web服务器使用base64编码对提取出的签名进行解码,得到利用所述私有密钥签名的该命令和参数的hash值;
S402:所述web服务器利用所述私有密钥对应的公共密钥使用RSA算法提取监控到的命令与参数的hash值。
5.根据权利要求3所述的webshell监控方法,其特征在于,在签名对比步骤中,根据监控到的命令和参数,利用sha256算法计算出监控到的命令和参数的hash值。
6.根据权利要求1所述的webshell监控方法,其特征在于,还包括,在签名对比步骤中,在执行命令前,由监控驱动程序将附加的签名从命令中剔除。
7.根据权利要求1所述的webshell监控方法,其特征在于,在webshell监控步骤中,分析上下文环境,检测所需监控的服务端程序包括:
分析cmd或powershell所处的进程链,获取cmd或powershell所在进程链的起点;
根据cmd或powershell所在进程链的起点,获取所需监控的服务端程序:
当cmd或powershell所在进程链的起点为iis时,判断为webshell服务;
当cmd或powershell所在进程链的起点为explorer.exe时,判断为本地操作。
8.一种webshell监控系统,至少包括一台安装有windows操作系统的web服务器和一个客户端,其特征在于,还包括:
签名模块,计算所需执行的命令的hash值,并对命令的hash值采用私有密钥进行签名;
编码模块,对采用私有密钥签名的命令进行编码,并将编码后的签名附加到命令中;
通信模块,将附加了编码后的签名的命令发送到服务器;
webshell监控模块,执行如下操作,
监控命令的执行;
分析上下文环境并检测服务端程序;
当检测到所需监控的服务端程序时,尝试从监控到的命令中提取签名,并将提取的结果传输给签名对比模块;
签名对比模块,执行如下操作,
若提取签名成功,
通过公有密钥提取监控到的命令和参数的hash值;
计算监控到的命令和参数的hash值;
将提取的监控到的命令和参数的hash值与计算出的监控到的命令和参数的hash值进行对比,将结果传输给控制模块;
若提取签名失败,将结果传输给控制模块;
控制模块,根据从签名对比模块接收的结果,对命令进行放行、阻断或生成日志记录。
9.根据权利要求8所述的webshell监控系统,其特征在于:
签名模块使用sha256算法计算所需执行的命令和参数的hash值;
签名模块对所需执行的命令和参数的hash值,通过预定义的私有密钥使用RSA算法计算签名;
编码模块使用base64编码对计算出的签名进行编码;
签名对比模块,使用sha256算法计算监控到的命令和参数的hash值;使用base64编码对提取的签名进行解码,然后通过公有密钥使用RSA算法提取出监控到的命令和参数的hash值。
10.根据权利要求8所述的webshell监控系统,其特征在于,所述控制模块,根据从签名对比模块接收的结果,执行不同操作:
当提取的签名与计算出的签名匹配时,放行该命令;
当提取的签名与计算出的签名不匹配或者提取签名失败时,阻断该命令或生成日志记录。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110315907.7A CN113162761B (zh) | 2020-09-18 | 2020-09-18 | 一种webshell监控系统 |
| CN202010984068.3A CN112118089B (zh) | 2020-09-18 | 2020-09-18 | 一种webshell监控方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010984068.3A CN112118089B (zh) | 2020-09-18 | 2020-09-18 | 一种webshell监控方法及系统 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110315907.7A Division CN113162761B (zh) | 2020-09-18 | 2020-09-18 | 一种webshell监控系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112118089A CN112118089A (zh) | 2020-12-22 |
| CN112118089B true CN112118089B (zh) | 2021-04-30 |
Family
ID=73800062
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110315907.7A Active CN113162761B (zh) | 2020-09-18 | 2020-09-18 | 一种webshell监控系统 |
| CN202010984068.3A Active CN112118089B (zh) | 2020-09-18 | 2020-09-18 | 一种webshell监控方法及系统 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110315907.7A Active CN113162761B (zh) | 2020-09-18 | 2020-09-18 | 一种webshell监控系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN113162761B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113987494A (zh) * | 2021-11-02 | 2022-01-28 | 北京中睿天下信息技术有限公司 | 一种基于windows日志及痕迹捕捉技术对powershell恶意活动的检测方法 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4047770B2 (ja) * | 2003-06-19 | 2008-02-13 | Necフィールディング株式会社 | ホームページ改ざん攻撃からWebサーバを守る監視/運用システム,方法およびプログラム |
| KR100968126B1 (ko) * | 2008-02-15 | 2010-07-06 | 한국인터넷진흥원 | 웹쉘 탐지 시스템 및 웹쉘 탐지 방법 |
| KR101080953B1 (ko) * | 2011-05-13 | 2011-11-08 | (주)유엠브이기술 | 실시간 웹쉘 탐지 및 방어 시스템 및 방법 |
| KR101291782B1 (ko) * | 2013-01-28 | 2013-07-31 | 인포섹(주) | 웹쉘 탐지/대응 시스템 |
| KR101585139B1 (ko) * | 2014-06-24 | 2016-01-13 | 에스케이인포섹(주) | 정오탐 분석 기능을 구비한 웹쉘 탐지 장치 및 이의 정오탐 분석 방법 |
| CN107770133B (zh) * | 2016-08-19 | 2020-08-14 | 北京升鑫网络科技有限公司 | 一种适应性webshell检测方法及系统 |
| CN108206802B (zh) * | 2016-12-16 | 2020-11-17 | 华为技术有限公司 | 检测网页后门的方法和装置 |
| US11140181B2 (en) * | 2017-09-28 | 2021-10-05 | Qubit Security Inc. | Web traffic logging system and method for detecting web hacking in real time |
| CN109598124A (zh) * | 2018-12-11 | 2019-04-09 | 厦门服云信息科技有限公司 | 一种webshell检测方法以及装置 |
| CN110034921B (zh) * | 2019-04-18 | 2022-04-15 | 成都信息工程大学 | 基于带权模糊hash的webshell检测方法 |
| CN110266469B (zh) * | 2019-06-18 | 2022-11-29 | 江苏慧世联网络科技有限公司 | 一种基于web脚本数据流运算的远程在线电子签章方法 |
| CN111177722A (zh) * | 2019-10-25 | 2020-05-19 | 腾讯科技(深圳)有限公司 | webshell文件检测方法、装置、服务器以及存储介质 |
| CN110943844B (zh) * | 2019-11-22 | 2022-04-12 | 江苏慧世联网络科技有限公司 | 一种基于网页客户端本地服务的电子文件安全签署方法及其系统 |
-
2020
- 2020-09-18 CN CN202110315907.7A patent/CN113162761B/zh active Active
- 2020-09-18 CN CN202010984068.3A patent/CN112118089B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN113162761B (zh) | 2022-02-18 |
| CN113162761A (zh) | 2021-07-23 |
| CN112118089A (zh) | 2020-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Kruegel et al. | Alert verification determining the success of intrusion attempts | |
| CN106961419B (zh) | WebShell检测方法、装置及系统 | |
| US7752662B2 (en) | Method and apparatus for high-speed detection and blocking of zero day worm attacks | |
| Le et al. | DoubleGuard: Detecting intrusions in multitier web applications | |
| CN107911355B (zh) | 一种基于攻击链的网站后门利用事件识别方法 | |
| US20180309772A1 (en) | Method and device for automatically verifying security event | |
| CN105471912B (zh) | 监控网络的安全防御方法和系统 | |
| CN105024976B (zh) | 一种高级持续威胁攻击识别方法及装置 | |
| EP3295359A1 (en) | Detection of sql injection attacks | |
| KR101964148B1 (ko) | 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법 | |
| CN113438249B (zh) | 一种基于策略的攻击溯源方法 | |
| CN111464526A (zh) | 一种网络入侵检测方法、装置、设备及可读存储介质 | |
| Kruegel et al. | Using alert verification to identify successful intrusion attempts | |
| CN111800405A (zh) | 检测方法及检测设备、存储介质 | |
| CN117240598B (zh) | 攻击检测方法、装置、终端设备及存储介质 | |
| CN112118089B (zh) | 一种webshell监控方法及系统 | |
| KR100736540B1 (ko) | 웹 서버 위/변조 감시장치 및 그 방법 | |
| US11916953B2 (en) | Method and mechanism for detection of pass-the-hash attacks | |
| CN113965418B (zh) | 一种攻击成功判定方法及装置 | |
| CN107231365B (zh) | 一种取证的方法及服务器以及防火墙 | |
| CN106789899B (zh) | 一种基于html5的跨域消息发送方法及装置 | |
| CN112583828B (zh) | 一种企业服务门户的安全防护方法 | |
| CN113760436A (zh) | 基于二维码的云主机远程登录系统和方法 | |
| Todd et al. | Alert verification evasion through server response forging | |
| CN114697049B (zh) | WebShell检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |