一、如何防止系統(tǒng)被植入WebShell?
1、Web服務(wù)器開(kāi)啟防火墻、殺毒軟件等,關(guān)閉遠(yuǎn)程桌面功能,定期更新服務(wù)器補(bǔ)丁和殺毒軟件。
2、加強(qiáng)管理員的安全意識(shí),不瀏覽服務(wù)器上不安全的網(wǎng)站,定期修改密碼。同時(shí)對(duì)服務(wù)器端的ftp也要加強(qiáng)類似的安全管理,防止被系統(tǒng)木馬感染。
3、加強(qiáng)權(quán)限管理,對(duì)敏感目錄設(shè)置權(quán)限,對(duì)上傳目錄限制腳本執(zhí)行權(quán)限,不允許腳本執(zhí)行。建議使用IIS6.0以上版本,不要使用默認(rèn)的80端口。
4. 修補(bǔ)程序漏洞,優(yōu)化程序上傳x.asp;png等文件。
二、WebShell是如何入侵系統(tǒng)的?
1、利用系統(tǒng)前臺(tái)的上傳服務(wù)上傳WebShell腳本,上傳的目錄往往有可執(zhí)行權(quán)限。在網(wǎng)絡(luò)上,有上傳圖片和上傳數(shù)據(jù)文件的地方。上傳完成后,通常會(huì)將上傳文件的完整URL信息返回給客戶端。有時(shí)沒(méi)有反饋。我們也可以猜測(cè)在常用的image、upload等目錄下。如果Web沒(méi)有嚴(yán)格控制網(wǎng)站訪問(wèn)權(quán)限或文件夾目錄權(quán)限,就有可能被用來(lái)進(jìn)行webshell攻擊。攻擊者可以使用上傳功能上傳一個(gè)腳本文件,然后通過(guò)url訪問(wèn)腳本,腳本就會(huì)被執(zhí)行。那么就會(huì)導(dǎo)致黑客將webshell上傳到網(wǎng)站的任意目錄,從而獲得網(wǎng)站的管理員控制權(quán)限。
(推來(lái)客網(wǎng)站建設(shè))
2、客戶獲取管理員后臺(tái)密碼,登錄后臺(tái)系統(tǒng),利用后臺(tái)管理工具在配置文件中寫(xiě)入WebShell木馬,或者黑客私自添加上傳類型,讓腳本程序上傳格式類似于asp 和php 的文件。
3、使用數(shù)據(jù)庫(kù)備份恢復(fù)功能獲取webshell。例如備份時(shí)將備份文件的后綴改為asp?;蛘吆笈_(tái)有mysql數(shù)據(jù)查詢功能,黑客可以通過(guò)執(zhí)行select.in來(lái)查詢輸出php文件到outfile,然后將代碼插入到mysql中,從而產(chǎn)生webshell木馬。
4、系統(tǒng)其他站點(diǎn)被攻擊,或者服務(wù)器配置了ftp服務(wù)器,ftp服務(wù)器被攻擊,然后注入webshell木馬,網(wǎng)站系統(tǒng)也被感染。
5、黑客直接攻擊web服務(wù)器系統(tǒng)。 Web 服務(wù)器也可能在系統(tǒng)級(jí)別存在漏洞。如果黑客利用該漏洞對(duì)服務(wù)器系統(tǒng)進(jìn)行攻擊,獲得權(quán)限后,黑客可以上傳web服務(wù)器目錄下的webshell文件。
三、什么是WebShell木馬?
WebShell通常以asp、php、jsp、asa、cgi等網(wǎng)頁(yè)形式作為命令執(zhí)行環(huán)境存在,也可稱為網(wǎng)頁(yè)后門(mén)。黑客入侵網(wǎng)站后,通常會(huì)將WebShell后門(mén)文件與網(wǎng)站服務(wù)器WEB目錄下的正常網(wǎng)頁(yè)文件混在一起,然后利用瀏覽器訪問(wèn)這些后門(mén),獲取命令執(zhí)行環(huán)境,從而控制網(wǎng)站或WEB系統(tǒng)服務(wù)器的目標(biāo)。通過(guò)這種方式,您可以上傳和下載文件、查看數(shù)據(jù)庫(kù)、執(zhí)行任意程序命令等。
四、WebShell能夠肆虐的重要原因是什么?
1. win2003 IIS6.0環(huán)境下,WebShell可以被注入的可能性很大。在IIS6.0環(huán)境下,我們上傳了一個(gè)test.asp;jpg的shell文件,上傳的時(shí)候發(fā)現(xiàn)可以上傳成功,因?yàn)閳D片文件檢測(cè)為jpg,但是在iis6中解析的時(shí)候卻認(rèn)為是asp。 0 執(zhí)行動(dòng)態(tài)網(wǎng)頁(yè)文件。于是我們知道了webshell木馬的共同特征:x.asp;png,x.php;txt.
2、WebShell惡意腳本混入正常網(wǎng)頁(yè)文件中。同時(shí),黑客控制的服務(wù)器與遠(yuǎn)程主機(jī)通過(guò)80端口傳輸數(shù)據(jù),不會(huì)被防火墻攔截,一般不會(huì)記錄在系統(tǒng)日志中。留下記錄極其隱蔽,一般不容易被發(fā)現(xiàn)和殺死。
我們專注高端建站,小程序開(kāi)發(fā)、軟件系統(tǒng)定制開(kāi)發(fā)、BUG修復(fù)、物聯(lián)網(wǎng)開(kāi)發(fā)、各類API接口對(duì)接開(kāi)發(fā)等。十余年開(kāi)發(fā)經(jīng)驗(yàn),每一個(gè)項(xiàng)目承諾做到滿意為止,多一次對(duì)比,一定讓您多一份收獲!