我为一个虚拟主机工作,我的工作是找到并清理被黑客入侵的帐户.我找到90%的shell/malware\injections的方法是寻找"不合适"的文件.例如,eval(base64_decode(.......))其中" ....."是一大堆base64'ed文本,通常永远不会好.当我查看关键字符串的文件时,奇怪的文件会跳出来.
如果这些文件作为人类向我跳出来,我确信我可以在python中构建某种类型的分析器,以便在统计上查找"不合适"的内容并标记它们以供人工审核.要开始我想我可以比较线的长度在含有键字符串(PHP文件eval,base64_decode,exec,gunzip,gzinflate,fwrite,preg_replace,等等)并查找由2个标准偏差从平均偏离线.
线路长度变化很大,我不确定这是否是一个很好的统计使用.另一种方法是将加权规则分配给cretin事物(线长超过或低于阈值= X点,包含单词upload = Y points)但我不确定我可以对分数实际做什么或如何对每个分数进行评分属性.我的统计数据有点生疏.
有人能指出我正确的方向(指南,教程,图书馆)进行统计分析吗?