好久没写东西了,十九大要召开了,忙坏了我们这群做安全的小屌丝们~国庆也没放假,哎~说正题吧,很久之前发过一次这个工具,只不过有很多问题,监控效率也不高,这次优化了下。
新版本:
①提升了监控到网马后的处理速度,优化了高频率上传的处理速度,10文件同时上传,1秒内处理完毕。
②增加了简易的日志功能(为什么说是简易呢,看后面图片就知道了)
③增加了一批样本,新增加了挺多样本的(懒得数了,反正挺多的)
④优化了关闭或使用ALT+F4时,程序会自动最小化到任务栏,避免误操作关闭该软件;
⑤新增加了敏感关键字检测,当监测到页面出现敏感关键字时,会将页面进行隔离处理,确保敏感页面不对外展示;
https://github.com/wstart/webshell
https://github.com/ysrc/webshell-sample
不算之前收录的内容,上述链接中所涉及的样本,收录了90%,还有一部分PHP的未收录,我找时间看吧,还未验证是否能监控到。
昨天增加了中文敏感词汇的特征,我的软件不可能涵盖所有的webshell特征,这个是肯定的,我也不敢吹这个牛,增加中文敏感词汇的意义,是在于如果有webshell未被检测到,至少页面不会被改成这样涉及敏感问题的页面,毕竟服务器被破坏了,也比被弄成乱七八糟的页面要好的多,政治错误,你懂的。
今天又对软件进行了创建、修改、删除、重命名4种操作方式的压力测试,写了个批处理文件,循环进行操作,模拟大量写入和操作的过程,来测试软件的压力,调整了一天代码,总算是完工了。
先贴出涉及敏感词汇的特征吧~~~只添加了一些,慢慢增加吧。
其实我还很小,我根本不懂上面的词是什么意思(手动捂脸~~~)
功能说明截图:
软件开始执行时是这个样子的
隔离区放在了C:\temp\geliqu目录下
日志存储在c:\temp目录下
一目了然。
这就是我说的简易日志的原因了,因为真的很简易,其实想弄报表的,但是最近忙的要死,都是加完班以后,半夜扣1个小时代码
同事们也反应了下,UI界面实在丑的令人扎心,我看着也扎心,等有时间给它整整容吧,先看实用性吧,东西好用了,丑不丑也就无所谓了,对吧?
链接: https://pan.baidu.com/s/1o84zD7G 密码: hs2w
欢迎大家测试,有监控不到的webshell或者bug问题,欢迎站内信反馈!
等忙完这段时间,把Python版的给大家发出来。(反正python版的主要用在非windows平台,丑不丑你们也看不出来。)
*本文作者:鬼魅羊羔,转载请注明来自 FreeBuf.COM
关注我们 分享每日精选文章
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
0daybank
已有 30 条评论
审核时间比较漫长,链接都失效了。我重新补下~~
@ 鬼魅羊羔 看了大佬的演示视频,赞一个,辛苦了。可以实时监测恶意代码,是否可以考虑增加一个项目恶意代码扫描功能,使用场景:停止监控期间或者偶尔使用。
@ 冰海 想过,但是被自己否决了。。我感觉加上扫描和监测。。软件太累了。。开个玩笑,主要是担心这样做的话,程序会不稳定。之前已经写了一个webshell查杀工具,但是我觉得意义不大,毕竟像啊D兄的webshellkill就已经很成熟了,重复造轮子的意义也不大。。
我再测试测试,如果测试没什么问题的话,我再更新下。。。。谢谢你的建议。。。
@ 鬼魅羊羔 好的,再次对付出表示感谢。
我补个链接:https://pan.baidu.com/s/1miCB63m
做个C/S架构的能更实用些。
@ ufohacker 恩,因为我不是个专业开发,时间太少太少了,只能抽空这改改,那改改。
这个意见不错。。。THK~
这不就是当年的“传奇私服字符替换器”吗?
@ King_Bob ?????
@ 鬼魅羊羔 啊哦,你来晚了,分享的文件已经被删除了,下次要早点哟。
@ 周杰伦 链接已补了。
链接失效啊?!
@ jackyduys 下面有补得,在评论里呢。那个链接失效了,审核时间太长了~~~~~
如果首页被添加了敏感词汇,那首页直接就被软件自动删除,网站直接就不能访问了,另外那种fd的图片想过吗?
少了一个恢复功能!
@ ChangG 对的,恢复功能和白名单功能一直未添加,我会尽快处理,多谢提醒:)
@ R00to1 想过,你问起来了,我就提前说吧,最近在做后续功能增加,增加网马识别的邮件预警,以及图片识别的功能,图片识别可能会单独写。。。。因为我也是半桶水,不知道得开发多久……
另外一个问题,为什么增加敏感词这块呢,个人觉得,如果首页被挂入敏感词汇,第一时间隔离,不对外造成影响,是明智的,因为我的客户针对的都是政府单位,这个比较敏感。。不对外造成影响是第一要考虑的因素。。。
针对普通企业,只预警,不删除,可能更实用些,后续我在弄个针对普通网站的监控策略。。
多谢你的建议,这块我可能没考虑周详,谢谢哈,我会尽快改善。
@ 鬼魅羊羔 嗯嗯 ,刚刚测试了下,在大批量上传的时候删除不充分,会有漏的现象。你可以测试下
@ 鬼魅羊羔 zf确实是保命要紧,添加几个复选框应该就能满足大多数政府和企业了。另外py版的发出来,大家看看,哈哈,还是强烈支持的,很少有人踏实做事情了。赞!
@ R00to1 确实有这个问题,如果一次性上传超过15个以上,会出现漏的情况下。。
这个软件是在模拟正常用户上传的情况下进行监测的,一般场景来说,很少有网站能支持一次性传15个文件。。。为了程序的稳定,所以就没设置太高。。。。怕处理不过来。。。
@ R00to1 Python的同事在写,还没消息呢。。。我催催,哈哈。。毕竟最近事儿多,我们也是个业余开发。。。会尽快放出来的。
@ R00to1 刚新增加了发现网马,隔离后的SMTP邮件提醒功能,还未完善,测试完了以后,再统一更新吧。。
直接自动删除不太好吧
关键词里有91porn。。。另外“自拍“ 明明是很纯洁的词却被加到敏感词黑名单。。。楼主明明是老司机,还装纯洁。
还有大陆也根本不算敏感词好吧
@ ynefen 仔细看我楼上的回复,对于一些特殊问题而言,大陆这个词可以算是敏感词,国内无论是新闻、生活、购物、娱乐、餐饮,“大陆”这个词几乎是不会出现的,只有港、澳、台才会这么去称呼,其中也包括一些TD份子、FD份子。。因为我的客户基本都是GOV,所以这个词就加进去了。
下午新增加了一个邮件报警功能。
在当前程序目录下,新建fs.txt和cs.txt
其中fs.txt对应的是收件人,里面写上收件人的邮件地址
cs.txt则对应的是抄送人,里面写上你想要抄送的地址
当有文件因触发关键字被隔离时,则会通过邮件来提醒管理员。
网盘地址:链接: https://pan.baidu.com/s/1jHBdAQi 密码: w3q7
分享是一种美德,好像是网盘失效了吗?
求问楼主是在哪个公司呀?
一看就是FileSystemWatcher
链接:https://pan.baidu.com/s/1bo27hi3 密码:ypsk