1)Webshell是用来控制服务器的，在控制服务器的过程中，就会触发许多系统函数，例如eval、z0(菜刀特征)、shell，需监控这些关键的函数，具体需要查看是哪个网页发起的请求进行鉴别。

　　2)Webshell连接可能使用base64编码，正常功能也会使用base64容易引起误报，一般与eval数量对比，数量差异较小时可能被上传 webshell进行编码通讯。

　　3)除了系统函数、base64编码通讯外，还存在int_set("display_errors","o")，为webshell流量特征之一。

　　4)还可以监控ifconfig whoami ipconfig 等关键命令，这是获得Webshell后基本上都会执行的命令。