当前位置: 首页 > wzjs >正文

当今网站开发技术的现状网站建设保密协议书

wzjs 2025/9/21 18:37:23
当今网站开发技术的现状,网站建设保密协议书,万网主机服务,马尾建设局网站目录 一、常见Webshell工具流量特征 1. ​​中国菜刀(Chopper)​​ 2. ​​冰蝎(Behinder)​​ 3. ​​哥斯拉(Godzilla)​​ 4. ​​蚁剑(AntSword)​​ 5. ​​C99 Shell​​…

目录

一、常见Webshell工具流量特征

1. ​​中国菜刀(Chopper)​​

2. ​​冰蝎(Behinder)​​

3. ​​哥斯拉(Godzilla)​​

4. ​​蚁剑(AntSword)​​

5. ​​C99 Shell​​

6. ​​Weevely​​

7. ​​隐蔽通道(DNS/ICMP)​​

二、通用检测方法

1. ​​流量异常分析​​

2. ​​加密流量识别​​

3. ​​行为特征​​

三、防御策略

1. ​​技术层面​​

2. ​​管理层面​​

3. ​​应急响应​​

四、总结

一、常见Webshell工具流量特征

1. ​​中国菜刀(Chopper)​

  • ​特征​​:
    • ​参数固定​​:如 z0z1z2
    • ​Base64编码​​:参数值经过Base64编码。
    • ​固定UA​​:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
  • ​检测规则​​: 
    alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"Chopper Activity"; content:"z0="; http_client_body;)

2. ​​冰蝎(Behinder)​

  • ​特征​​:
    • ​AES加密​​:动态密钥加密,内容为二进制流。
    • ​Content-Type​​:application/octet-stream
    • ​WebSocket协议​​:使用长连接通信。
  • ​检测规则​​: 
    alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"Behinder Activity"; content:"application/octet-stream"; http_content_type;)

3. ​​哥斯拉(Godzilla)​

  • ​特征​​:
    • ​强加密​​:AES/RSA加密,密钥协商复杂。
    • ​随机参数名​​:如 k=abc123,每次请求不同。
    • ​分块传输​​:Transfer-Encoding: chunked
  • ​检测规则​​: 
    alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"Godzilla Activity"; content:"Transfer-Encoding: chunked"; http_header;)

4. ​​蚁剑(AntSword)​

  • ​特征​​:
    • ​UA标识​​:部分版本UA含 AntSword
    • ​插件编码​​:Base64或ROT13编码。
    • ​路径特征​​:访问 /api/command
  • ​检测规则​​: 
    alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"AntSword Activity"; content:"AntSword"; http_user_agent;)

5. ​​C99 Shell​

  • ​特征​​:
    • ​明文传输​​:参数如 pass=...&cmd=...
    • ​固定文件名​​:如 c99.php
  • ​检测规则​​: 
    alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"C99 Activity"; content:"pass="; http_client_body;)

6. ​​Weevely​

  • ​特征​​:
    • ​参数名固定​​:如 weevely=...
    • ​简单加密​​:XOR或替换加密。
  • ​检测规则​​: 
    alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"Weevely Activity"; content:"weevely="; http_client_body;)

7. ​​隐蔽通道(DNS/ICMP)​

  • ​特征​​:
    • ​DNS隧道​​:高频请求非常规域名(如 data.attacker.com)。
    • ​ICMP载荷​​:异常ICMP包大小和频率。
  • ​检测规则​​: 
    alert dns $HOME_NET any -> any any (msg:"DNS Tunnel"; dns_query; content:".attacker.com"; nocase;)

二、通用检测方法

1. ​​流量异常分析​

  • ​高频请求​​:短时间内大量POST请求。
  • ​参数异常​​:超长参数名/值(如 >1KB)。
  • ​非常用端口​​:HTTP流量出现在8080、8443等端口。

2. ​​加密流量识别​

  • ​固定长度数据包​​:加密Payload长度一致。
  • ​密钥协商请求​​:如 key=... 参数。

3. ​​行为特征​

  • ​敏感操作​​:命令如 cmd=whoamifunc=exec
  • ​路径可疑​​:如 /uploads/shell.php

三、防御策略

1. ​​技术层面​

  • ​WAF规则​​:拦截含 z0=application/octet-stream 的请求。
  • ​HTTPS解密​​:对内部流量进行中间人解密检查。
  • ​文件监控​​:禁止上传 .php.jsp 等可执行文件。

2. ​​管理层面​

  • ​访问控制​​:限制上传目录执行权限。
  • ​日志审计​​:分析异常UA、高频请求和敏感路径访问。
  • ​沙箱检测​​:自动扫描上传文件的恶意代码。

3. ​​应急响应​

  • ​隔离主机​​:发现入侵后立即断网。
  • ​溯源分析​​:通过流量日志定位攻击入口。
  • ​漏洞修复​​:修补被利用的漏洞(如SQL注入、文件上传)。

四、总结

Webshell流量特征因工具而异,但通常包含加密、固定参数或异常协议等行为。通过结合特征检测和行为分析,可有效识别攻击。防御需多层联动,从流量监控到文件管理,形成完整防护体系。

​防御核心​​:早发现、早阻断、早溯源。

http://www.dtcms.com/wzjs/819572.html

相关文章:

  • 软件下载大全网站投资者互动平台
  • 免费招聘网站有哪些平台微信开店
  • 定制企业网站多少钱龙岗营销型网站建设
  • 肥西县建设发展局网站在线免费设计logo
  • 网站备案过期wordpress+培训模板下载
  • 佛山北京网站建设公司行业门户网站系统
  • 移动端网站的优点众希网站建设
  • 北京网站定制报价建设网站的申请信用卡吗
  • 临海营销型网站建设网站开发 安全验证
  • 上海市建设部注册中心网站中山模板网站建设
  • 汽车门户网站 源码大连网站开发公司排名
  • 上上海网站设计建设浙江省建设监理协会管网站
  • php工具箱是直接做网站的吗长沙免费建站网络营销
  • 云主机安装网站深圳网站定制价格表
  • 怎么用链接进自己做的网站西安网站建设市场
  • 佛山网站建设公司排名wordpress序号插件
  • 制作一个网站流程英文网站模板cms
  • 重庆建设人才促进网企业网站优化公司
  • 网站开发 定价wordpress增加下载量显示
  • 什么做自己的网站福州网站建设流程
  • 网站中文章内图片做超链接重庆开县网站建设报价
  • 旅游网的网站建设餐饮网站建设背景
  • 新农村建设专题网站井祥交通建设工程有限公司 网站
  • 建网站的手机软件旅游电子商务网站模板
  • 网站上做地图手机上显示不出来的优质的网站建设公司
  • 制作高端网站公司排名网站中的作用
  • 自学建站网昆明seo关键词排名
  • 电子商务网站建设行情自己做的网站怎么添加采集模块
  • 网站有哪些内容wordpress速度太慢
  • 个人资料库网站怎么做wordpress淘宝ued