微信网站 手机网站建设手机访问 建站咨询 建站咨询 建站咨询 建站咨询
咨询,就免费赠送域名与服务器,咨询热线:13915107752当前位置: > 新闻动态 > 网站设计 >
联系我们
电话咨询:13915107752
电话咨询:0517-89862517
地址: 淮安市清河区金马广场北楼24楼019室

WebShell是如何入侵系统的?

作者/整理:daijk 浏览次数:次 日期:2018-03-06


一、WebShell是如何入侵系统的?
         1)利用系统前台的上传业务,上传WebShell脚本,上传的目录往往具有可执行的权限。在web中有上传图像、上传资料文件的地方,上传完后通常会向客户端返回上传的文件的完整URL信息,有时候不反馈,我们也可以猜到常见的image、upload等目录下面,如果Web对网站存取权限或者文件夹目录权限控制不严,就可能被利用进行webshell攻击,攻击者可以利用上传功能上传一个脚本文件,然后在通过url访问这个脚本,脚本就被执行。然后就会导致黑客可以上传webshell到网站的任意目录中,从而拿到网站的管理员控制权限。
         2)客户获取管理员的后台密码,登陆到后台系统,利用后台的管理工具向配置文件写入WebShell木马,或者黑客私自添加上传类型,允许脚本程序类似asp、php的格式的文件上传。
         3)利用数据库备份与恢复功能获取webshell。如备份时候把备份文件的后缀改成asp。或者后台有mysql数据查询功能,黑客可以通过执行select..in To outfile 查询输出php文件,然后通过把代码插入到mysql,从而导致生成了webshell的木马。
         4)系统其他站点被攻击,或者服务器上还搭载了ftp服务器,ftp服务器被攻击了,然后被注入了webshell的木马,然后网站系统也被感染了。
         5)黑客直接攻击Web服务器系统,Web服务器在系统层面也可能存在漏洞,如果黑客利用其漏洞攻击了服务器系统,那么黑客获取了其权限,则可以在web服务器目录里上传webshell文件。
二、WebShell能够肆虐的重要原因是什么?
         1)WebShell能够被注入很大程度是由于win2003 IIS6.0的环境下造成的。在IIS6.0环境下,我们上传一个test.asp;.jpg的shell文件,发现在上传的时候,能够成功上传,因为监测为jpg的图片文件,但是在iis6.0解析的时候却当成了asp的动态网页文件被执行。因此我们知道webshell木马常见的特征:x.asp;.png,x.php;.txt...
         2)WebShell的恶意脚本是和正常的网页文件混在一起的,同时被黑客控制的服务器和远处主机都是通过80端口来传递数据的,不会被防火墙拦截,一般也不会在系统日志中留下记录,,具有极强的隐蔽性,一般不容易被查杀。
三、如何防止系统被植入WebShell?
        1)web服务器方面,开启防火墙,杀毒软件等,关闭远程桌面这些功能,定期更新服务器补丁和杀毒软件。
        2)加强管理员的安全意识,在服务器上不浏览不安全网站,定期修改密码,同时对服务器上的ftp类似的也要加强安全管理,防止被系统的木马感染。
        3)加强权限管理,对敏感目录进行权限设置,限制上传目录的脚本执行权限,不允许执行脚本。建议用IIS6.0以上版本,同时不要用默认80端口。
        4)程序修补漏洞,程序要优化上传x.asp;.png这样类似的文件。