http://blog.csdn.net/huangxiangec/article/details/19155161

收到客戶的反饋,說運行了一年的網站突然遭到黑客的攻擊,系統cpu一直保持在100%,有進程也干不掉,然後客戶就進行殺毒了,然後就把所有的exe文件都殺了,然後系統也就很多功能不正常了,資料庫的服務也幹掉了,然後我去看了下,發現網站目錄下面被上傳了大量的asp、php,htm的頁面,裡面的目錄也有黑客上傳了自己的目錄,瀏覽哪些defalut.asp等方面的頁面,就是黑客植入的頁面,那要是被用戶看見了,那真是一炮走紅啊,黑客還很牛B的留下了腳印,果斷寫了自己的大名,在這種情況下,意識到這是中了WebShell木馬,我立刻關閉了網站,然後來找解決方案。

一、什麼是WebShell木馬? WebShell通常是以asp、php、jsp、asa或者cgi等網頁文件形式存在的—種命令執行環境,也可以稱為—種網頁後門。黑客在入侵網站後,通常會將WebShell後門文件與網站伺服器WEB目錄下正常的網頁文件混在—起,然後就可以使用瀏覽器來訪問這些後門,得到命令執行環境,以達到控制網站或者WEB系統伺服器的目的。這樣就可以上傳下載文件、查看資料庫、執行任意程序命令等。二、WebShell是如何入侵系統的? 1)利用系統前台的上傳業務,上傳WebShell腳本,上傳的目錄往往具有可執行的許可權。在web中有上傳圖像、上傳資料文件的地方,上傳完後通常會向客戶端返回上傳的文件的完整URL信息,有時候不反饋,我們也可以猜到常見的image、upload等目錄下面,如果Web對網站存取許可權或者文件夾目錄許可權控制不嚴,就可能被利用進行webshell攻擊,攻擊者可以利用上傳功能上傳一個腳本文件,然後在通過url訪問這個腳本,腳本就被執行。然後就會導致黑客可以上傳webshell到網站的任意目錄中,從而拿到網站的管理員控制許可權。 2)客戶獲取管理員的後台密碼,登陸到後台系統,利用後台的管理工具向配置文件寫入WebShell木馬,或者黑客私自添加上傳類型,允許腳本程序類似asp、php的格式的文件上傳。 3)利用資料庫備份與恢復功能獲取webshell。如備份時候把備份文件的後綴改成asp。或者後台有mysql數據查詢功能,黑客可以通過執行select..in To outfile 查詢輸出php文件,然後通過把代碼插入到mysql,從而導致生成了webshell的木馬。 4)系統其他站點被攻擊,或者伺服器上還搭載了ftp伺服器,ftp伺服器被攻擊了,然後被注入了webshell的木馬,然後網站系統也被感染了。 5)黑客直接攻擊Web伺服器系統,Web伺服器在系統層面也可能存在漏洞,如果黑客利用其漏洞攻擊了伺服器系統,那麼黑客獲取了其許可權,則可以在web伺服器目錄里上傳webshell文件。三、WebShell能夠肆虐的重要原因是什麼? 1)WebShell能夠被注入很大程度是由於win2003 IIS6.0的環境下造成的。在IIS6.0環境下,我們上傳一個test.asp;.jpg的shell文件,發現在上傳的時候,能夠成功上傳,因為監測為jpg的圖片文件,但是在iis6.0解析的時候卻當成了asp的動態網頁文件被執行。因此我們知道webshell木馬常見的特徵:x.asp;.png,x.php;.txt... 2)WebShell的惡意腳本是和正常的網頁文件混在一起的,同時被黑客控制的伺服器和遠處主機都是通過80埠來傳遞數據的,不會被防火牆攔截,一般也不會在系統日誌中留下記錄,,具有極強的隱蔽性,一般不容易被查殺。四、如何防止系統被植入WebShell? 1)web伺服器方面,開啟防火牆,殺毒軟體等,關閉遠程桌面這些功能,定期更新伺服器補丁和殺毒軟體。 2)加強管理員的安全意識,在伺服器上不瀏覽不安全網站,定期修改密碼,同時對伺服器上的ftp類似的也要加強安全管理,防止被系統的木馬感染。 3)加強許可權管理,對敏感目錄進行許可權設置,限制上傳目錄的腳本執行許可權,不允許執行腳本。建議用IIS6.0以上版本,同時不要用默認80埠。 4)程序修補漏洞,程序要優化上傳x.asp;.png這樣類似的文件。


推薦閱讀:
查看原文 >>
相关文章