一、如何防止系統(tǒng)被植入WebShell?
1、Web服務(wù)器開啟防火墻、殺毒軟件等,關(guān)閉遠(yuǎn)程桌面功能,定期更新服務(wù)器補(bǔ)丁和殺毒軟件。
2、加強(qiáng)管理員的安全意識,不瀏覽服務(wù)器上不安全的網(wǎng)站,定期修改密碼。同時對服務(wù)器端的ftp也要加強(qiáng)類似的安全管理,防止被系統(tǒng)木馬感染。
3、加強(qiáng)權(quán)限管理,對敏感目錄設(shè)置權(quán)限,對上傳目錄限制腳本執(zhí)行權(quán)限,不允許腳本執(zhí)行。建議使用IIS6.0以上版本,不要使用默認(rèn)的80端口。
4. 修補(bǔ)程序漏洞,優(yōu)化程序上傳x.asp;png等文件。
二、WebShell是如何入侵系統(tǒng)的?
1、利用系統(tǒng)前臺的上傳服務(wù)上傳WebShell腳本,上傳的目錄往往有可執(zhí)行權(quán)限。在網(wǎng)絡(luò)上,有上傳圖片和上傳數(shù)據(jù)文件的地方。上傳完成后,通常會將上傳文件的完整URL信息返回給客戶端。有時沒有反饋。我們也可以猜測在常用的image、upload等目錄下。如果Web沒有嚴(yán)格控制網(wǎng)站訪問權(quán)限或文件夾目錄權(quán)限,就有可能被用來進(jìn)行webshell攻擊。攻擊者可以使用上傳功能上傳一個腳本文件,然后通過url訪問腳本,腳本就會被執(zhí)行。那么就會導(dǎo)致黑客將webshell上傳到網(wǎng)站的任意目錄,從而獲得網(wǎng)站的管理員控制權(quán)限。
(推來客網(wǎng)站建設(shè))
2、客戶獲取管理員后臺密碼,登錄后臺系統(tǒng),利用后臺管理工具在配置文件中寫入WebShell木馬,或者黑客私自添加上傳類型,讓腳本程序上傳格式類似于asp 和php 的文件。
3、使用數(shù)據(jù)庫備份恢復(fù)功能獲取webshell。例如備份時將備份文件的后綴改為asp?;蛘吆笈_有mysql數(shù)據(jù)查詢功能,黑客可以通過執(zhí)行select.in來查詢輸出php文件到outfile,然后將代碼插入到mysql中,從而產(chǎn)生webshell木馬。
4、系統(tǒng)其他站點被攻擊,或者服務(wù)器配置了ftp服務(wù)器,ftp服務(wù)器被攻擊,然后注入webshell木馬,網(wǎng)站系統(tǒng)也被感染。
5、黑客直接攻擊web服務(wù)器系統(tǒng)。 Web 服務(wù)器也可能在系統(tǒng)級別存在漏洞。如果黑客利用該漏洞對服務(wù)器系統(tǒng)進(jìn)行攻擊,獲得權(quán)限后,黑客可以上傳web服務(wù)器目錄下的webshell文件。
三、什么是WebShell木馬?
WebShell通常以asp、php、jsp、asa、cgi等網(wǎng)頁形式作為命令執(zhí)行環(huán)境存在,也可稱為網(wǎng)頁后門。黑客入侵網(wǎng)站后,通常會將WebShell后門文件與網(wǎng)站服務(wù)器WEB目錄下的正常網(wǎng)頁文件混在一起,然后利用瀏覽器訪問這些后門,獲取命令執(zhí)行環(huán)境,從而控制網(wǎng)站或WEB系統(tǒng)服務(wù)器的目標(biāo)。通過這種方式,您可以上傳和下載文件、查看數(shù)據(jù)庫、執(zhí)行任意程序命令等。
四、WebShell能夠肆虐的重要原因是什么?
1. win2003 IIS6.0環(huán)境下,WebShell可以被注入的可能性很大。在IIS6.0環(huán)境下,我們上傳了一個test.asp;jpg的shell文件,上傳的時候發(fā)現(xiàn)可以上傳成功,因為圖片文件檢測為jpg,但是在iis6中解析的時候卻認(rèn)為是asp。 0 執(zhí)行動態(tài)網(wǎng)頁文件。于是我們知道了webshell木馬的共同特征:x.asp;png,x.php;txt.
2、WebShell惡意腳本混入正常網(wǎng)頁文件中。同時,黑客控制的服務(wù)器與遠(yuǎn)程主機(jī)通過80端口傳輸數(shù)據(jù),不會被防火墻攔截,一般不會記錄在系統(tǒng)日志中。留下記錄極其隱蔽,一般不容易被發(fā)現(xiàn)和殺死。
我們專注高端建站,小程序開發(fā)、軟件系統(tǒng)定制開發(fā)、BUG修復(fù)、物聯(lián)網(wǎng)開發(fā)、各類API接口對接開發(fā)等。十余年開發(fā)經(jīng)驗,每一個項目承諾做到滿意為止,多一次對比,一定讓您多一份收獲!