网站被黑中毒WebShell木马的解决方案

一.什么是WebShell?

“web”的含义是显然需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为匿名用户(入侵者)通过网站端口对网站服务器的某种程度上操作的权限。

简单理解: WebShell通常是以asp、php、jsp、asa或者cgi等网页文件形式存在的—种命令执行环境,也可以称为—种网页后门。黑客在入侵网站后,通常会将WebShell后门文件与网站服务器WEB目录下正常的网页文件混在—起,然后就可以使用浏览器来访问这些后门,得到命令执行环境,以达到控制网站或者WEB系统服务器的目的。

webshell中由于需要完成一些特殊的功能就不可避免的用到一些特殊的函数,我们也就可以对着特征值做检查来定位webshell,同样的webshell本身也会进行加密来躲避这种检测。

二.webshell长什么样子

以下是asp webshell的样例,从界面看,它的功能还是比较全的,可以对服务器的文件目录进行读写操作,如果你是网站管理员的话肯定是不希望普通用户获得下面的权限的。

三.WebShell是如何入侵系统的?

1)利用站点上传漏洞实现上传webshell

利用系统前台的上传业务,上传WebShell脚本,上传的目录往往具有可执行的权限。在web中有上传图像、上传资料文件的地方,上传完后通常会向客户端返回上传的文件的完整URL信息,有时候不反馈,我们也可以猜到常见的image、upload等目录下面,如果Web对网站存取权限或者文件夹目录权限控制不严,就可能被利用进行webshell攻击,攻击者可以利用上传功能上传一个脚本文件,然后在通过url访问这个脚本,脚本就被执行。然后就会导致黑客可以上传webshell到网站的任意目录中,从而拿到网站的管理员控制权限。

2)黑客获取管理员的后台密码,登陆到后台系统,利用后台的管理工具向配置文件写入WebShell木马,或者黑客私自添加上传类型,允许脚本程序类似asp、php的格式的文件上传。

3)利用数据库备份与恢复功能获取webshell。如备份时候把备份文件的后缀改成asp。或者后台有mysql数据查询功能,黑客可以通过执行select..in To outfile 查询输出php文件,然后通过把代码插入到mysql,从而导致生成了webshell的木马。

4)系统其他站点被攻击,或者服务器上还搭载了ftp服务器,ftp服务器被攻击了,然后被注入了webshell的木马,从而导致网站系统也被感染。

5)黑客直接攻击Web服务器系统漏洞入侵Web服务器在系统层面也可能存在漏洞,如果黑客利用其漏洞攻击了服务器系统,那么黑客获取了其权限,则可以在web服务器目录里上传webshell文件。

四.WebShell能够肆虐的重要原因是什么?

1)通过web站点漏洞上传webshell

WebShell能够被注入很大程度是由于服务器或中间件的安全漏洞。例如:老版本的IIS目录解析漏洞、文件名解析漏洞、应用后台暴露和弱口令、fast-CGI解析漏洞、apache文件解析漏洞、截断上传、后台数据库备份功能上传、利用数据库语句上传等漏洞实现。

2)站点部署时混入了webshell文件

我们发现有大量的客户在使用从网上下载的第三方开源代码时,混入了WebShell的恶意脚本,造成二次入侵或多次入侵,所以在部署前期,如果不是新开发的代码,需要对代码进行恶意文件扫描查杀,防止上线后被入侵。

五.如何防止系统被植入WebShell?

配置必要的防火墙开启防火墙策略,防止暴露不必要的服务,为黑客提供利用条件。

对服务器进行安全加固,例如:关闭远程桌面这些功能、定期更换密码、禁止使用最高权限用户运行程序、使用https加密协议。

加强权限管理,对敏感目录进行权限设置,限制上传目录的脚本执行权限,不允许配置执行权限。

安装webshell检测工具,发现检测结果后,立即隔离查杀,并排查漏洞。

排查程序存在的漏洞,并及时修补漏洞,如果没有安全能力,可以通过应急响应服务人工界入协助排查漏洞及入侵原因,同时可以选用阿里云商业web应用防火墙防御,降低入侵机率。

原文链接

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 211,948评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,371评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,490评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,521评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,627评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,842评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,997评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,741评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,203评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,534评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,673评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,339评论 4 330
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,955评论 3 313
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,770评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,000评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,394评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,562评论 2 349

推荐阅读更多精彩内容