Webshell流量交互的流量特征有哪些

江小悠 20 0

1)Webshell是用来控制服务器的,在控制服务器的过程中,就会触发许多系统函数例如eval、zO(菜刀特征)、 shell,需监控这些关键的函数,具体需要查看 是哪个网页发起的请求进行鉴别。
2)Webshell连接可能使用base64编码,正常功能也会使用base64容易引起误报,一般与eval数量对比,数量差异较小时可能被上传 webshell进行编码通讯。
3)除了系统函数、base64编码通讯外,还存在 int_set("display_errors","0") 为Webshell流量特征之一。
4)还可以监控ifconfig whoami ipconfig等关键命令,这是获得 Webshell后基本上都会执行的命令。

发表评论 取消回复
表情 图片 链接 代码

分享