百万级文件数如何快速查找 WebBackDoor（包括猥琐变形隐藏手法）？

又在乌云看到一个有意思的帖子，内容如下：

地址：http://zone.wooyun.org/index.php?do=view&id=71

标题：百万级文件数如何快速查找WebBackDoor?

时间：2012-04-18 23:41

作者：iucker

内容：文件数百万级,如何有效查找webbackdoor?在各种非主流猥琐变形隐藏手法面前,各位有什么好办法呢?

相关回复：

SinCoder | 2012-04-18 23:45

这个如果有以前文件的快照的话 那么可以非常快找到 shell 的。

iucker | 2012-04-18 23:58

@SinCoder 如果没有呢?

pangshenjie (whoami) | 2012-04-19 00:06

@iucker 我觉的其他办法就是你筛选的话符合要求的文件数量也是巨大的，各种变形神马的直接找应该比较困难，期待大神给出其他的好办法~

蟋蟀哥哥 | 2012-04-19 01:13

关键是排序和排除吧。关键看具体的需求

…… 省略 ……

本人想到了一个解决方案，如下：

如果没有保留快照、Hash、时间戳等原始对比信息的话，这个只能遍历了……

判断文件修改时间的方法不可取，因为攻击者极大可能修改了文件时间。

如果遍历的话，高效的处理算法是很关键的。

如果有 Web 访问日志的话，我想，首先可以过滤掉一些 0 访问量的文件，可以大大的减少需要遍历的文件数量，但是有个缺点，如果是图片包含方式的木马，虽然该图片是 0 访问，但是仍被其他脚本加载执行……

不过这个缺点，可以在之后关键词匹配的时候发现出来（判断脚本中所有包含语句，所包含的文件后缀），所以遗漏的几率很小，几乎不会遗漏，凡是遗漏的都是废弃的后门，虽然是图片后缀，但是没有任何一个文件包含，所以也是无法执行的，废弃的，无危害……

总的来说，我可以概括为以下几个步骤：

1、获取文件列表，获取的同时采用【黑名单】过滤掉“.mdb、.html、.css、.js、.txt、.jpg、.gif、.bmp、.mp3、.wav、.mid……”（提示一下，在过滤文件的同时，可以增加一个 if 判断，顺道判断特殊文件名、畸形目录等变形后门，例如：/a.asp/a.jpg、a.asp;a.jpg、a.asp;jpg、aux.asp、com1.asp……，可以直接判定为后门！根本不用再用关键词匹配，省去大量时间……），等非脚本后缀的文件（还可以过滤超大体积的文件），注意：一定是黑名单过滤，如果你使用白名单的话，会遗漏一些特殊路径的文件，例如：a.asp;a.jpg、a.asp;jpg、file（没后缀的）……，经过这个过滤后缀操作，大概可以排除 60% - 70% 以上的非脚本文件，甚至更多（越华丽的网站，图片越多，脚本只占极少数）……

2、如果存在 Web 访问日志的话，如上所述，可以分析一下文件访问频率（可以重点检查访问率高的文件），又可以排除很大一批 0 访问量的文件，这些文件大多数都是一些通用的函数库文件，一般一个网站通用的包含文件很多，而针对前台用户访问的文件只占极少数，这样又可以过滤很大一批文件，起码有 10%，不过这个有个缺陷，首先如果日志很大的话，分析会很消耗时间，而且可能会漏掉一些包含式的后门，这个根据情况使用吧。

3、经过以上的处理，大概只剩下 10% - 20% 的文件需要处理，也就是个 10 万多的文件（Win7 旗舰版安装完后，C 盘大约有 6 多万文件，这实在不算多），挨个读取进行关键词匹配，如果你关键词匹配的算法比较好的话，应该不需要很长时间了。

4、其他过滤算法。

再提示一下，可以参考杀毒软件全盘查杀的处理方案……

同时还可以保留这次清理文件的 Hash 值，给以后的清理作参考信息。

坐等其他大牛更先进的解决方案……

本文将持续更新，您也可以点击以上链接，查看其它回复。

2012-4-19 13:07:29 补充：

xsser (白日放歌需纵酒) | 2012-04-19 11:23

如果是应用层出的事情，在应用层对抗很麻烦，我们考虑的思路是更底层，与@核攻击 不同，我们经常的环境是linux环境，所以：

1 上传后门往往用户是www，而当时的应用程序的属主是work，甚至mysql创建的后门属主是mysql

2 创建时间，在linux下修改ctime是需要root权限的，所以按照ctime分组能够很快判断出一个后门，后门往往和应用程序诞生时间是不一样的

3 访问行为，后门与普通应用的访问行为来说，最大的不同在于访问频率和ip，正常应用会被很多人来访问，但是后门往往就只对应一个访问用户

推荐80sec那个分析被黑的文章 

换个思路之后，文件多少不是真正的问题 ：）

shine (shield) | 2012-04-19 11:43 

如果应用过多，想防住它是不可能的。所以，在我的系统架构中，做了严格的url访问或文件访问权限校验（当然，都是有利弊共存的，还是要看应用类型），即使留了webbackdoor，攻击者也是无法访问到它！

2012-4-27 9:48:49 补充：

GaRY | 2012-04-19 16:30

其实，只要有一个事实运维标准，再结合这个标准做监控（例如版本库svn diff，例如运行用户的属性，例如更新时间的固定性），一切和标准不同的内容都是异常（无论是网络流量、系统属性、文件自身层面），然后再从异常中结合行为特征进行查找会有效减少工作量。建立多层级异常处理机制很重要。

请叫我大神 | 2012-04-19 23:07

实际还有更好的方法，呵呵，比如说吧，你一个web应用，为毛会有尝试读取web目录以外的文件呢？即使有，这种例外是很容易被枚举出来的吧。

这个我觉得是比较猥琐的检测思路了。但是需要和系统结合，做一些文件系统的监控

留言评论（旧系统）：