webshell检测工具(推荐)

  • A+
所属分类:神兵利器

现在是个webshell横飞的时代,很多小企业大企业都饱受摧残,于是乎,我在这里为大家推荐一个webshell检测神器--ssdeep
webshell检测工具(推荐)
       一 、安装ssdeep
下载ssdeep并安装 http://ssdeep.sourceforge.net/
tar zxvf ssdeep-2.12.tar.gz
cd ssdeep-2.12
./configure
make
make install

 二、命令规则

-d   目录模式,匹配目录下的所有文件

-p   很好的匹配模式,类似-d 但是包含所有的匹配规则

-g   结合匹配在一起

-v   详细模式。显示文件名作为其正在处理

-l   打印相对路径 如:doc/text.txt

-b   只打印文件名不包含任何路径信息

-r   递归模式制定文件夹下的所有文件以及子文件夹

-m   利用已知的hash进行文件匹配

-k   匹配文件的签名

-s   静音模式;所有的错误都被屏蔽

-c   打印显示结果为CSV格式

-x   用签名来比较文件

-a   显示所有匹配结果,不管匹配率

-t   只显示指定匹配率分数以上的结果

-V   显示版本

 三、识别与匹配webshell

接下来我们下载一个webshell,试一试如何使用ssdeep来识别webshell

以JspSpy.jsp为例

首先获得webshell目录下JspSpy.jsp的ssdeep hash(fuzzy hashing)值,并存储到hashs.txt文件中

ssdeep webshell/jspspy.jsp > hashs.txt

或者输出结果不包含文件具体目录结构 ssdeep -b webshell/jspspy.jsp > hashs.txt

或者获取整个目录下的所有文件hash ssdeep * > hashs.txt

cat b37_hashs.txt

ssdeep,1.1--blocksize:hash:hash,filename
384:UsaSwsF3RtJhwhxY5janx0Rig5xJx52FRsBU0ipgFHF3xR:44snx0Rig5x752EBUxpc5,"JspSpy.jsp"

然后使用这个值来获得相似度,相似度为100(当然啦,因为没有做任何修改)

对文件夹内所有文件进行匹配

ssdeep -t 90 -r -m hashs.txt www/* 输出www文件夹(包含子文件夹)下匹配率90以上的所有文件包含绝对路径,也可以换成任意匹配率,直接修改即可

ssdeep -c -s -t 90 -r -m hashs.txt www/* 输出为cvs格式

发表评论

您必须才能发表评论!