webshell智能查杀

　　　　　　　　　　　　　　　　　　很多人一直注重于攻，而轻视于防。[b]攻在于创新，防在于全面。
[/b]

一、攻击者需要将WebShell文件写入到目标服务器上。

通常向网站程序写入一个WebShell的方式有以下三种方式:

1、利用数据库后门写入

2、利用网站程序本身提供的上传漏洞 //上传绕过

3、利用WEB程序提供的PUT和MOVE方法 //如IIS写权限漏洞

二、应急响应中web后门排查与高效分析web日志技巧

第一件事先查web后门，可以从几个方面入手。
1.web后门查杀软件
windows上推荐阿D大牛的D盾，linux上推荐p7法师的SeayFindShell，360在线网站程序后门木马查杀平台

2.文件最后修改时间
可以通过命令检查某个时间点后被修改过的脚本文件，再检查是不是web后门。

3.根据大概时间慢慢分析日志
最笨的方法，不到迫不得已不要用这个方法，比较费时间，而且不直接。因为一般的websever不记录POST、COOKIE这些，光从URL需要有经验的人才能看出来。

第二件事查找入侵的漏洞。
假设我们找到了后门seay.php和action.php等等，然后查看后门的最后修改时间，如果这个时间不是入侵者后期修改过的，那么这个时间就是入侵时间，直接去日志里面找这个时间附近的日志就行。就算被修改过也没事，直接把这个web后门的文件名到web日志里面搜索，就可以高效的定位到入侵时间和IP。

那么现在已经找到入侵者的入侵时间和IP，接下来的一个技巧，怎么快速提取入侵者的行为日志，那就是通过入侵者IP检索出所有这个IP的日志，然后就可以很顺利的找到漏洞所在了。