网络攻击之-Webshell流量告警运营分析篇

本文从Webshell的定义，多种Webshell利用的流量数据包示例，Webshell的suricata规则，Webshell的告警研判，Webshell的处置建议等几个方面阐述如何通过IDS/NDR，态势感知等流量平台的Webshell类型的告警的线索，开展日常安全运营工作，从而挖掘有意义的安全事件。

Webshell定义

Webshell是一种用于远程控制和操作Web服务器的恶意脚本或程序。攻击者通过向Web应用程序中注入这些脚本或程序，成功部署Webshell后，就可以在服务器上执行各种操作，包括文件管理、系统命令执行、数据库访问等。

总的来说Webshell是一个比较庞大的话题，可以从不同的角度进行解读，如下：

• 从脚本的种类可以分为ASP，PHP，JSP等不同种类的webshell。
• 从文件的大小可以分为，一句话木马，小马，大马等。
• 从webshell加检测角度可以分为webshell的上传，webshell的注入，webshell的连接通信，webshell的工具。
• 从webshell攻击利用，包含普通的webshell利用以及变形的webshell利用。

Webshell数据包举例

本文从