tanzz1337/shell

# Web Shell 检测研究 本仓库用于**防御性安全分析、研究和教育**，内容涉及通常与 Web Shell、文件上传绕过以及基于 PHP 服务器的入侵指标相关的工件。 ## 目的 本仓库旨在帮助： - Blue Team 和 SOC 团队识别可疑的文件名模式， - Web 管理员验证文件上传控制机制， - 安全研究人员创建检测规则， - 审计人员审查服务器上恶意文件的暴露情况。 ## 范围 本仓库中的示例工件作为**研究样本**用于： - 识别恶意文件命名模式， - 分析文件扩展名绕过， - 创建基于文件名的检测规则， - 验证 Web 服务器的加固措施， - 在合法的实验室环境中测试内部扫描管道。 ## 重要警告 **请勿在非您本人拥有或未获书面许可的系统上使用本仓库。** 滥用此类工件可能违反法律、组织政策以及信息安全职业道德。 ## 需要了解的风险 此类工件常被攻击者用于： - 执行远程命令， - 上传恶意文件， - 绕过扩展名验证， - 枚举敏感文件， - 入侵后的持久化。 ## 安全的使用案例 允许的用途包括： - 隔离的内部实验室环境， - WAF/EDR/AV 规则验证， - IOC 检测测试， - 应急响应培训， - 文件上传机制的安全审查。 ## 值得警惕的指标 一些通常需要监控的模式： - 文件名看似图片的 PHP 文件，例如 `*.jpg.php`、`*.png.php`， - 扩展名变体，如 `.phtml`、`.phar`、`.pht`、`.php5`、`.php7`， - 包含 `shell`、`cmd`、`symlink`、`phpinfo` 等关键词的文件， - 在可写且可执行的目录中上传的文件。 ## 缓解建议 1. 禁用上传目录中的脚本执行权限。 2. 使用文件扩展名允许列表，而非拒绝列表。 3. 验证 MIME 类型和文件签名。 4. 将上传的文件存储在 document root 之外。 5. 对文件权限实施最小权限原则。 6. 监控文件变更和异常上传行为。 7. 使用 WAF 和终端扫描。 8. 定期审计 Apache/Nginx/PHP 配置。 ## 检测思路 - 用于文件名和可疑字符串的 YARA 规则 - 用于 Web 服务器日志的 Sigma 规则 - 针对上传目录的 cron/inotify 扫描器 - 出现双扩展名文件时触发警报 - 与 SIEM 集成以进行 IOC 关联 ## 道德与法律 访问本仓库即表示您同意： - 仅在合法环境中使用， - 不进行未经授权的访问， - 遵守适用的法律和政策， - 优先考虑防御性和教育性目的。 ## 免责声明 所有内容**仅用于防御性研究和安全教育**。作者不支持将其用于未经授权的访问、持久化、权限滥用或其他有害行为。

标签：EDR规则, ffuf, GitHub Advanced Security, PHP安全, WAF规则, Webshell检测, Web安全, 入侵指标, 威胁情报, 子域枚举, 安全加固, 开发者工具, 恶意文件检测, 文件上传漏洞, 样本分析, 绕过技术, 网络信息收集, 网络安全, 网络安全审计, 蓝队分析, 防御性安全, 隐私保护