百万级文件数如何快速查找 WebBackDoor(包括猥琐变形隐藏手法)?

  • A+
所属分类:lcx

又在乌云看到一个有意思的帖子,内容如下:


地址:http://zone.wooyun.org/index.php?do=view&id=71

标题:百万级文件数如何快速查找WebBackDoor?

时间:2012-04-18 23:41

作者:iucker

内容:文件数百万级,如何有效查找webbackdoor?在各种非主流猥琐变形隐藏手法面前,各位有什么好办法呢?

相关回复:

SinCoder | 2012-04-18 23:45

这个如果有以前文件的快照的话 那么可以非常快找到 shell 的。

 

iucker | 2012-04-18 23:58

@SinCoder 如果没有呢?

 

pangshenjie (whoami) | 2012-04-19 00:06

@iucker 我觉的其他办法就是你筛选的话符合要求的文件数量也是巨大的,各种变形神马的直接找应该比较困难,期待大神给出其他的好办法~

 

蟋蟀哥哥 | 2012-04-19 01:13

关键是排序和排除吧。关键看具体的需求

 

…… 省略 ……


本人想到了一个解决方案,如下:


如果没有保留快照、Hash、时间戳等原始对比信息的话,这个只能遍历了……

判断文件修改时间的方法不可取,因为攻击者极大可能修改了文件时间。

如果遍历的话,高效的处理算法是很关键的。

如果有 Web 访问日志的话,我想,首先可以过滤掉一些 0 访问量的文件,可以大大的减少需要遍历的文件数量,但是有个缺点,如果是图片包含方式的木马,虽然该图片是 0 访问,但是仍被其他脚本加载执行……

不过这个缺点,可以在之后关键词匹配的时候发现出来(判断脚本中所有包含语句,所包含的文件后缀),所以遗漏的几率很小,几乎不会遗漏,凡是遗漏的都是废弃的后门,虽然是图片后缀,但是没有任何一个文件包含,所以也是无法执行的,废弃的,无危害……

总的来说,我可以概括为以下几个步骤:

1、获取文件列表,获取的同时采用【黑名单】过滤掉“.mdb、.html、.css、.js、.txt、.jpg、.gif、.bmp、.mp3、.wav、.mid……”(提示一下,在过滤文件的同时,可以增加一个 if 判断,顺道判断特殊文件名、畸形目录等变形后门,例如:/a.asp/a.jpg、a.asp;a.jpg、a.asp;jpg、aux.asp、com1.asp……,可以直接判定为后门!根本不用再用关键词匹配,省去大量时间……),等非脚本后缀的文件(还可以过滤超大体积的文件),注意:一定是黑名单过滤,如果你使用白名单的话,会遗漏一些特殊路径的文件,例如:a.asp;a.jpg、a.asp;jpg、file(没后缀的)……,经过这个过滤后缀操作,大概可以排除 60% - 70% 以上的非脚本文件,甚至更多(越华丽的网站,图片越多,脚本只占极少数)……

2、如果存在 Web 访问日志的话,如上所述,可以分析一下文件访问频率(可以重点检查访问率高的文件),又可以排除很大一批 0 访问量的文件,这些文件大多数都是一些通用的函数库文件,一般一个网站通用的包含文件很多,而针对前台用户访问的文件只占极少数,这样又可以过滤很大一批文件,起码有 10%,不过这个有个缺陷,首先如果日志很大的话,分析会很消耗时间,而且可能会漏掉一些包含式的后门,这个根据情况使用吧。

3、经过以上的处理,大概只剩下 10% - 20% 的文件需要处理,也就是个 10 万多的文件(Win7 旗舰版安装完后,C 盘大约有 6 多万文件,这实在不算多),挨个读取进行关键词匹配,如果你关键词匹配的算法比较好的话,应该不需要很长时间了。

4、其他过滤算法。

再提示一下,可以参考杀毒软件全盘查杀的处理方案……

同时还可以保留这次清理文件的 Hash 值,给以后的清理作参考信息。


坐等其他大牛更先进的解决方案……

本文将持续更新,您也可以点击以上链接,查看其它回复。


2012-4-19 13:07:29 补充:

xsser (白日放歌需纵酒) | 2012-04-19 11:23

如果是应用层出的事情,在应用层对抗很麻烦,我们考虑的思路是更底层,与@核攻击 不同,我们经常的环境是linux环境,所以:

1 上传后门往往用户是www,而当时的应用程序的属主是work,甚至mysql创建的后门属主是mysql

2 创建时间,在linux下修改ctime是需要root权限的,所以按照ctime分组能够很快判断出一个后门,后门往往和应用程序诞生时间是不一样的

3 访问行为,后门与普通应用的访问行为来说,最大的不同在于访问频率和ip,正常应用会被很多人来访问,但是后门往往就只对应一个访问用户

推荐80sec那个分析被黑的文章 

换个思路之后,文件多少不是真正的问题 :)

 

shine (shield) | 2012-04-19 11:43 

如果应用过多,想防住它是不可能的。所以,在我的系统架构中,做了严格的url访问或文件访问权限校验(当然,都是有利弊共存的,还是要看应用类型),即使留了webbackdoor,攻击者也是无法访问到它!


2012-4-27 9:48:49 补充:

GaRY | 2012-04-19 16:30

其实,只要有一个事实运维标准,再结合这个标准做监控(例如版本库svn diff,例如运行用户的属性,例如更新时间的固定性),一切和标准不同的内容都是异常(无论是网络流量、系统属性、文件自身层面),然后再从异常中结合行为特征进行查找会有效减少工作量。建立多层级异常处理机制很重要。

 

请叫我大神 | 2012-04-19 23:07

实际还有更好的方法,呵呵,比如说吧,你一个web应用,为毛会有尝试读取web目录以外的文件呢?即使有,这种例外是很容易被枚举出来的吧。

这个我觉得是比较猥琐的检测思路了。但是需要和系统结合,做一些文件系统的监控

留言评论(旧系统):

【匿名者】 @ 2012-04-19 21:40:11

我一般都查看创建时间 再加上一些关键字和后缀 能找个大多数

本站回复:

只能用于中小型网站,大型网站完全用不上……

核老大的脑残粉 @ 2012-04-20 11:42:49

我看不懂怎么办!!

本站回复:

凉拌!多吃脑残片!病会好的!

核老大的脑残粉 @ 2012-04-20 12:54:42

核老大啥时候能知道我这个脑残粉一下!!

本站回复:

????不知所云……

核老大的脑残粉 @ 2012-04-20 13:07:19

指导写成知道了...不会鄙视我吧 发现的时候已经提交了.///// 求指导呀

本站回复:

Google & 百度

文章来源于lcx.cc:百万级文件数如何快速查找 WebBackDoor(包括猥琐变形隐藏手法)?

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: