1)Webshell是用来控制服务器的,在控制服务器的过程中,就会触发许多系统函数,例如eval、z0(菜刀特征)、shell,需监控这些关键的函数,具体需要查看是哪个网页发起的请求进行鉴别。
2)Webshell连接可能使用base64编码,正常功能也会使用base64容易引起误报,一般与eval数量对比,数量差异较小时可能被上传 webshell进行编码通讯。
3)除了系统函数、base64编码通讯外,还存在int_set("display_errors","o"),为webshell流量特征之一。
4)还可以监控ifconfig whoami ipconfig 等关键命令,这是获得Webshell后基本上都会执行的命令。