Question

未拦截的请求到了 DMZ 服务器，对应用或者系统有什么样的影响，我们放到这一节来探讨。常规的系统加固、Web Server 加固、目录权限设置等就不说了，恶意请求的目的可能是：想利用上传功能直接上传一个 WebShell，利用文件包含功能直接引用一个远程的 WebShell，利用文件解析漏洞上传恶意图片或视频，触发特定漏洞执行命令，或者是已经拿到 WebShell 直接请求执行命令。如何有效发现 WebShell，是一个很大的话题，这里不详细展开。一般来讲，有以下几个思路：

·文件内容扫描，看是否有一些高危函数、黑客版权信息等，改进一点的是结合机器学习对网络上的各种样本进行收集提取。

·结合文件变化及属性来判断。

·结合网络流量特征来判断。

·结合脚本底层执行动作来判断。

在系统上，有没有较好的方式发现异常呢？打个比方，有些黑客喜欢拿到 WebShell 后上来就执行 whoami 之类的指令，我们是否可以利用基于主机型入侵检测系统（Host-based Intrusion Detection System，HIDS）中的检测模型发现其中的异常呢？操作系统本身就有一些审计日志功能，针对一些特定的攻防场景，需要针对性的研究，定制规则以发现异常。

1.OSSEC

开源的 HIDS 产品中，OSSEC 比较出名。OSSEC 是一款开源的基于主机的入侵检测系统，包括日志分析、文件/注册表完整性检测、安全策略监控、Rootkit 检测、实时报警、动态响应等功能。它的最大优势在于支持很多操作系统，包括 Linux、MacOS、Solaris、HP-UX、AIX 和 Windows。OSSEC 默认带有一些规则，包括 SSH 破解、Windows 登录失败、账号添加修改等，安装上简单测试就可以看到效果，但要实际投产使用，还需要针对性地写一些插件规则以满足特定场景下的攻防策略需求。另外，OSSEC 有些功能的实现方式不是非常完美，例如，Rookit 检测中的代码居然是直接利用 netstat 命令的结果进行对比，如图 11-3 所示。

图 11-3　Rookit 检测中的代码直接利用 netstat 命令的结果进行对比

在负载高的机器上，netstat 的执行会非常慢，还会因为时间原因产生误报。

2.Sysmon

对于 Windows 系统，建议使用 Sysmon。Sysmon 是由 Windows Sysinternals 出品的 Sysinternals 系列中的工具，它以系统服务和设备驱动程序的方式安装在系统上，并保持常驻性。Sysmon 用来监视和记录系统活动，并记录到 Windows 事件日志，可以提供有关进程创建、网络连接和文件创建时间更改的详细信息。Sysmon 由微软出品，兼容性有保障，功能强大，对 Windows 审计日志是一个非常棒的补充。在大量机器部署的情况下，结合 Sysmon+Evtsys 收集日志汇总到 SOC，定制 CASE，也是一个不错的方案。