什麼是webshell?有什麼危害?
webshell就是一種可以在web服務器上執行的後臺腳本或者命令執行環境。
沒明白?
簡單來說
webshell是網站入侵的腳本攻擊工具
黑客通過入侵網站上傳webshell後獲得服務器的執行操作權限,比如執行系統命令、竊取用戶數據、刪除web頁面、修改主頁等,其危害不言而喻。
Webshell攻擊的特點有哪些?
1
持續遠程訪問
入侵者可以利用webshell從而達到長期控制網站服務器的目的。若攻擊者自行修復了漏洞,以確保沒有其他人會利用該漏洞,攻擊者可以低調的隨時控制服務器。一些流行的webshell使用密碼驗證和其他技術來確保只有上傳webshell的攻擊者才能訪問它。
2
權限提升
在服務器沒有配置錯誤的情況下,webshell將在web服務器的用戶權限下運行,該用戶權限是有限的。通過使用webshell,攻擊者可以嘗試通過利用系統上的本地漏洞來執行權限提升,常見的有查找敏感配置文件、通過內核漏洞提權、利用低權限用戶目錄下可被Root權限用戶調用的腳本提權、任務計劃等。
3
極強的隱蔽性
有些惡意網頁腳本可以嵌套在正常網頁中運行,且不容易被查殺。webshell還可以穿越服務器防火牆,由於與被控制的服務器或遠程主機交互的數據都是通過80端口傳遞,因此不會被防火牆攔截,在沒有記錄流量的情況下,webshell使用post包發送,也不會被記錄在系統日誌中,只會在web日誌中記錄一些數據提交的記錄。
獲取webshell的常見方法
1
直接上傳獲得webshell
因過濾上傳文件不嚴,導致用戶可以直接上傳webshell到網站任意可寫目錄中,從而拿到網站的管理員控制權限。
2
添加修改上傳類型
現在很多腳本程序上傳模塊不是隻允許上傳合法文件類型,大多數的系統是允許添加上傳類型。
3
利用後臺管理功能寫入webshell
進入後臺後還可以通過修改相關文件來寫入webshell。
4
利用後臺數據庫備份及恢復獲得
主要是利用後臺對access數據庫的“備份數據庫”或“恢復數據庫”功能,“備份的數據庫路徑”等變量沒有過濾導致可以把任意文件後綴改為asp,從而得到webshell。
5
php+mysql系統
後臺需要有mysql數據查詢功能,入侵者就可以利用它執行SELECT ... in TO OUTFILE查詢輸出php文件,因為所有的數據是存放在mysql裡的,所以我們可以通過正常手段把我們的WebShell代碼插入mysql在利用SELECT ... in TO OUTFILE語句導出shell。
webshell網站後門的清除方法
webshell 網站後門的清除有兩種情況:
後門的文件可以直接刪除,找到後門文件,直接刪除即可;
不能直接刪除後門文件,只能刪除文件內容中的木馬代碼進行清除。
可以直接刪除後門文件的4種特點:
1、文件名為index.asp 、index.php,這類為自動生成SEO類型文件,可以直接刪除,如要徹底清除後門,需找生成此文件的源文件。
2、文件內容只有一行,或很少量的代碼,此類被稱為“一句話後門”。
3、文件內容中存在password或UserPass關鍵字。
4、另外一些在上傳組件目錄或上傳目錄的文件可以直接刪除。如eWebEditor、Editor、FCKeditor、webeditor、UploadFiles、uploads等。
只能刪除文件內容中的木馬代碼
進行清除的有以下特點:
1、網站自身文件被插入惡意代碼
2、網站配置文件
這類插入網站自身代碼中的後門清除方法:
首先備份此文件以備改錯可恢復,查找到後門代碼的位置,一般通過查找“eval、execute、request、ExecuteGlobal”關鍵字進行定位。把確定為後門的代碼刪除後保存文件。訪問網站看是否報錯,以確認有沒有改錯。
網站如何防禦webshell攻擊?
從根本上解決動態網頁腳本的安全問題,要做到防注入、防暴庫、防COOKIES欺騙、防跨站攻擊等等,務必配置好服務器FSO權限。
1、建議用戶通過ftp來上傳、維護網頁,儘量不安裝上傳程序。
2、對上傳程序的調用一定要進行身份認證,並只允許信任的人使用上傳程序。
3、程序管理員的用戶名和密碼要有一定複雜性,不能過於簡單,還要注意定期更換。
4、到正規網站下載程序,要對數據庫名稱和存放路徑進行修改,數據庫名稱要有一定複雜性。
5、儘量保持程序是最新版本。
6、不要在網頁上加註後臺管理程序登陸頁面的鏈接。
7、為防止程序有未知漏洞,可以在維護後刪除後臺管理程序的登陸頁面,下次維護時再上傳。
8、時常備份數據庫等重要文件。
9、日常多維護,並注意空間中是否有來歷不明的asp文件。
10、儘量關閉網站搜索功能,利用外部搜索工具,以防爆出數據。
11、利用白名單上傳文件,不在白名單內的一律禁止上傳,上傳目錄權限遵循最小權限原則。
相關推薦
