Webshell安全检测篇（2）-深入用户的内心

一、WEBSHELL是什么？意味着什么？

不同人的视角里，Webshell是什么？

• 程序员：一个可以执行的web脚本文件。意味着：就是个脚本。
• 黑客：一个可以拿来控制网站的东西。意味：网站已经搞定，尽量隐藏自己的身份别被发现，同时可以进行后续的破坏行为。
• 用户（站长）： 发现了Webshell，麻烦来了,认真的管理员都会想到很多很多的问题。网站有漏洞，已经被别人攻击了。我该怎么办？

二、Webshell检测工具和产品（系统）的区别在哪？

网上有各种各样的开源和免费工具，暂且不说他们的识别率。这些东西为什么仅仅是一个工具？

笔者认为，工具为什么叫工具，主要以下特点：

• 只能解决非常有针对性的问题；
• 使用工具需要预备很多的技术积累和安全知识；（非专业人士用不起来）
• 只会呈现专业结果，解决问题依然需要很多的能力和知识积累。（非专业人士用不起来）
• 工具没有充分考虑用户的需求场景和用户体验。

三、用户的真正需求是什么？

理解用户需求确实很深入的一门艺术，用户需求分析其实非常体现一个产品经理或决策人的视野和能力。这个需求是刚需？还是非刚需？是显性需求还是隐性需求？是用户的需求还是用户的需求？需求的紧迫度如何？需求频度呢？（现在都讲用户粘性，低频度的需求很难热卖）是点上的需求还是面上的需求？解决的是用户的痛点和痒点？不要把痛点和痒点混为一谈，痛点是雪中送炭，痒点是锦上添花。（有点跑题，掰扯多了，充分了解需求，从人性角度出发的产品才能更为市场接受）。

就Webshell而言，用户说要检测Webshell，为什么要检测Webshell？用户说要分析日志，为什么要分析日志？目标群体是站长（管理员）的话，他们关心什么。他们心里其实是一连串的问号。

• 我们的网站是不是被人搞了?
• 这个黑客是哪里来的？怎么入侵进来的？为什么要攻击我？进来都干了什么？（黑客是谁？从那里来？想干什么？）
• 网站到底有什么漏洞？如何修复漏洞，不让黑客进来？
• 黑客进来了，可能干了很多坏事，偷走了数据，可能监听窃听了内网很多敏感信息。
• 网站到底有什么漏洞？如何修复漏洞，不让黑客进来？
• 还有没有其他漏洞存在，别被黑客再攻击进来？
• 有没有其他同区域的系统遭受攻击
• 为避免后遗症，是否需要修改系统口令，设置权限等相关的安全提升措施。
• ……

简单说我受破坏的程度，如何避免不再出现类似情况，同时关心黑客的来源身份手段等信息（黑客画像）

所以Webshell检测系统我们要做的到底是什么？是覆盖WEB类安全事件事后处置的一个平台（或服务）。

主要的功能：

• 监测网站是不是被人入侵了。
• 根据流量找出攻击者的IP地址。
• 结合外部威胁情报对攻击者进行画像，给用户全面的信息。
• 基于流量可以还原攻击场景。
• 根据攻击场景分析网站存在什么漏洞。
• 根据漏洞给用户提供修补加固方案。

四、用户想要的是什么效果？

• 告警准确（该报的报 不该报的不报）。
• 告警直观、形象。（可视化好）
• 部署成本小：最好0成本部署，或者便利的接入
• 告警获取方便（比如微信、短信通知）。（用户才没时间天天去看产品的界面，以后监控类的产品告警信息是不是几乎都不要界面了，或者扔几个牛逼的可视化图让领导看，当然统计类的报表还是需要的）
• 告警处理方便：一键式的处理导向，看到告警，我按照自动化的一键式场景，可以方便的自动或人工去处理webshell事件。（傻瓜化处理）

再往俗的说五点：管用、好看、省事、便利、好使。

下片导言：

当下的安全攻防一个特点就是，未知攻击会越来越多，你所面临的攻击工具可能是从来没有使用过（或者身边的监控视野范围没有看到过），你手上的webshell样本再多，攻击者总是能制作出新的更轻量级功能更全的webshell，如何发现未知的webshell?如何做到天网恢恢疏而不漏？

相关文章《Webshell安全检测篇（3）-基于行为分析来发现“未知的Webshell”》

[via@守望者实验室]