webshell是什么？它是以asp、PHP、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。黑客在入侵一个网站后，通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。

出于网站安全防护目的，网络安全分析专家们总是极力根据一些线索找到webshell，从而采取措施。但是，有防就有攻，黑客也会想尽一切办法去隐藏他的webshell，让安全专家找不到。黑客常用的隐藏方法跟检测方法相对应。比如，通过特征匹配的方式去发现webshell，黑客一般通过字符异或、回避、拆分、编码等方式绕过检测。

为了提高网络安全程度，OpenFEA开发了一个安全分析模型，帮助网络安全从业者进行webshell扫描，自查网站是否存在webshell等。

以下是我们运用此模型分析出的webshell URL、webshell 密码。

一、top 10的webshell URL

在某客户现场通过OpenFEA分析工具，对全网数据进行了提取分析，发现6例隐藏许久的webshell。对其他不存在（返回404等异常返回码）的webshell爬取行为进行解码、分析、统计，发现webshell爬取行为涉及的的url共计171个，图中取了top10进行展示：

在top10中，plus/90sec.php、plus/mytag_js.php、plus/ad_js.php、plus/laobiao.php、plus/e7xue.php、plus/spider.php、plus/mybak.php都与DEDE织梦系统有关系。

排名第三的/utility/convert/data/config.inc.php属于discuz系统。

二、登陆webshell使用的密码

登陆webshell使用的密码共计223个。

webshell密码中简单密码（位数低于六位，并且全部由数字或字母构成）占比很高，达到69%。

以上是运用基于OpenFEA构建的网络安全分析模型，得出的webshell URL、webshell 密码。看来起分析结果很强大吧，但得益于OpenFEA的支持，它的分析原理却异常简单。

通过采集大量webshell访问数据，主要采用对访问请求的特征与webshell访问行为模型结合匹配，来确定哪些访问属于webshell访问，再通过该请求对应的返回码，确定在系统中是否存在webshell。最终，对webshell访问请求中的post数据和url对象进行解析，对常见的webshell地址、常用密码进行了统计、总结。

如此强大的模型，由两部分组成：

一、访问行为模型

由url访问次数、访问规律、访问来源、页面、访问返回码等组成。

url访问次数：访问总量很少

访问规律：短期内规律，长期无规律，如下次访问可能在2个月后

访问来源：与访问业务的IP相比，webshell源IP非常集中

页面：孤链

访问返回码：200 OK

二、webshell扫描器访问行为模型

由url访问次数、访问规律、访问来源、页面、访问返回码等组成。

url访问次数：访问总量很少

访问规律：通常会访问多个url，并且只进行访问

访问来源：与访问业务的IP相比，webshell源IP非常集中

页面：孤链

访问返回码：404等异常状态

访问行为分析在大量访问日志下，对分析工具的处理能力要求很高，本次检测结果基于OpenFea大数据分析工具实现，需要文中涉及的webshell url和密码数据的亲们，请关注我们的微信公众号openfea，发送关键字“openfea”，将微信自动回复的文章“OpenFEA面授课程教学计划”转发到您的朋友圈后，将分享成功的截图发送至邮箱fea@hzhz.co即可获得，先到先得哦！