沙发思密达，用过的查找工具，基本都是根据特征字符串内容搞。

这种思路或许会有不错的效果，先收藏瞧瞧！

嗯，思路方案不错。

强大的思路啊

相同IP多次post同一个页面，这个是webshell概率根据多年的查杀经验来说 是相当大的。当时我还很年轻。

@livers 这个有一定的重合度。需要假如其他辅助判断，比如是library目录下的文件，还一直被post之类。
顺及，其实ala也有按照method统计的功能，不过我是把这个当做辅助手段的。

@GaRY 我是，同一IP连续的多次重复访问，然后日志里查询这个文件 未有或者有很少IP 访问这个文件。这个是webshell的概率非常大。这些只能算是行为特征查杀的起步的初级方式吧。我做的查杀工具也只是把这些当辅助，还是特征码为主。
当时我还很年轻有人问你how old?

一般日记很少开的吧，没需要的话。。不过思路很有意思

@Matt 不开日志？这才是少之又少吧

@GaRY 我遇到的站几乎都很少开日志，访问量太大 日志花花的。。

可以在网站里面加入一个隐藏的iframe，就让她和其他页面请求频率次数没多大差别，可以修改.htaccess类似的，修改陈gif等形式的解析

恩。有意思。。

不错，第二个脚本可以把文件属主、mtime也加上。

小我啊，这个误报率如何？

@lake2 mtime容易被改，ctime更靠谱些，而且有些解包的参数不同，有些属性会被保留下来

@请叫我大神 是的,touch -r a b 即可修改mtime。ctime也是可以修改，需要root权限，先把系统时间改回去，然后再修改一下权限，或者touch一下。

碉堡了，wofeiwo大神分享的就是屌

还有我觉得，如果完善下，还是把特征码加进来吧

可以加入配置文件和脚本文件的hash匹配

怎么能联系到@GaRY

@Vty @GaRY
1月30号去张江  王总给我个入场券撒

刚才又请教了下别人，还有一种貌似，卸载ext，然后用debugfs 修改 ext的inode，然后挂载

@请叫我大神 不过目测ctime可靠性不大，随便一个mv、chmod 就能改变ctime,而且有的lib的函数本身就改了ctime

@冷冷的夜 正常运行，不是么？你提到了root，提权到root就是两个层面的东西了，呵呵，这里还只是讨论webshell

@小胖胖要减肥 能私信吗？

我觉得还是要加上特征码更可靠。

@Vty 直接群里面找我吧

@小胖胖要减肥 这个发邮件给一号店申请就ok了，没啥入场卷

@123 @lake2 所有行为特征都是用来做辅助加权的，不具有确定性，需要人工参与。所以这个本来也就是和@请叫我大神 所说在Incident Response的阶段用的工具，不是用来做实时监控。因此没有什么所谓的准确率，实际上在一台确信已经入侵了的机器上快速找到webshell，准确率还是很高的。
另外可能加入用户属主的判断脚本。其他特征码之类的就不加入了。那些不在我这些工具讨论的范畴。

我非我牛 就是淫荡！

本工具已经更新，添加了属主判断和另一个功能。具体直接看github。@小胖胖要减肥 @123 @请叫我大神 @lake2

@GaRY 收到

很好，支持

@GaRY
字符密度(文件复杂度) 这个特征一般情况是加密的文件或者就是马
PS：“Python马”除外 这个需要行为特征

@GaRY
PPS:PHP有可能误杀Zend等等各种加密过的PHP
PPPS:以上 只能真对ASP/ASPX/PHP/JSP(Model1)这些 没什么大问题
PPPPS:提示 AST

@GaRY AST(Abstract Syntax Tree) PS:抽象语法树

@Lmy 又想起那个传说中计算熵然后找最为混乱的那个文件即为webshell的方法。不过说实话，虽然有一定的道理，不过我更觉得是数学模型大于实际意义。

顺便，应该这个和语法数本身没有特别大关系，基本用不到语法解析。

@lake2 @GaRY @请叫我大神 其实.只要有心.不管是ctime/mtime都不太可靠...

@冷冷的夜 hash匹配靠谱点.可以和ctime/mtime整合一起用.

@GaRY Zend处理过的文件有时候比有的马更混沌

@GaRY 如果是符合语言规范的程序了 AST就有意义了

@tmp 本来么，ctime之类只是一个途径。但是好歹门槛提高了，毕竟你没有root没法改inode。
这些只是作为辅助工具用的。重要的是提供和共享思路

@GaRY 嗯.确实.对快速反应来说.这是个不错的辅助手段.

@GaRY 有空多写些py小工具.

@GaRY 信息熵

@GaRY 看看这个http://hi.baidu.com/monyer/item/a218dbadf2afc7a828ce9d63

收藏嘻嘻...