顧名思義�����,“web”的含義是顯然需要服務(wù)器開放web服務(wù)�,“shell”的含義是取得對服務(wù)器某種程度上操作權(quán)限�����。webshell常常被稱為匿名用戶(入侵者)通過網(wǎng)站端口對網(wǎng)站服務(wù)器的某種程度上操作的權(quán)限。由于webshell其大多是以動態(tài)腳本的形式出現(xiàn)��,也有人稱之為網(wǎng)站的后門工具���。
作用 一方面��,webshell被站長常常用于網(wǎng)站管理�、服務(wù)器管理等等��,根據(jù)FSO權(quán)限的不同����,作用有在線編輯網(wǎng)頁腳本、上傳下載文件�、查看數(shù)據(jù)庫、執(zhí)行任意程序命令等��。
另一方面�,被入侵者利用,從而達(dá)到控制網(wǎng)站服務(wù)器的目的�����。這些網(wǎng)頁腳本常稱為WEB
腳本木馬,目前比較流行的asp或php木馬�����,也有基于.NET的腳本木馬����。
對于后者我本人是反對的,畢竟人要厚道����。
有些惡意網(wǎng)頁腳本可以嵌套在正常網(wǎng)頁中運行,且不容易被查殺�����。
webshell可以穿越服務(wù)器防火墻�����,由于與被控制的服務(wù)器或遠(yuǎn)程主機交換的數(shù)據(jù)都是通過80端口傳遞的���,因此不會被防火墻攔截。并且使用webshell一般不會在系統(tǒng)日志中留下記錄���,只會在網(wǎng)站的web日志中留下一些數(shù)據(jù)提交記錄�,沒有經(jīng)驗的管理員是很難看出入侵痕跡的。
防范
從根本上解決動態(tài)網(wǎng)頁腳本的安全問題�,要做到防注入、防暴庫�����、防COOKIES欺騙��、防跨站攻擊等等�,務(wù)必配置好服務(wù)器FSO權(quán)限。
希望看過本詞條的人����,發(fā)表一下你是如何防范惡意WEBSHELL后門的。
常見webshell
提到webshell�,那就一定要提到“海陽頂端網(wǎng)asp后門”這應(yīng)該是asp后門中最有名的了,后面還有“殺手十三”等功能豐富的后門出現(xiàn)�����!
一句話后門 <%eval request("value")%> 或者 <%execute request("value")%> 或者 <%execute(request("value"))%> 或者他們的加密變形�����!
當(dāng)然webshell還有jsp,php等多種腳本形式的
webshell概論
webshell是web入侵的腳本攻擊工具����。簡單的說來,webshell就是一個asp或php木馬后門�,黑客在入侵了一個網(wǎng)站后,常常在將這些asp或php木馬后門文件放置在網(wǎng)站服務(wù)器的web目錄中����,與正常的網(wǎng)頁文件混在一起。然后黑客就可以用web的方式�����,通過asp或php木馬后門控制網(wǎng)站服務(wù)器����,包括上傳下載文件、查看數(shù)據(jù)庫����、執(zhí)行任意程序命令等���。
為了更好理解webshell我們學(xué)習(xí)兩個概念:
什么是“木馬”��?“木馬”全稱是“特洛伊木馬(Trojan Horse)”�����,原指古希臘士兵藏在木馬內(nèi)進(jìn)入敵方城市從而占領(lǐng)敵方城市的故事���。在Internet上����,“特洛伊木馬”指一些程序設(shè)計人員在其可從網(wǎng)絡(luò)上下載(Download)的應(yīng)用程序或游戲中���,包含了可以控制用戶的計算機系統(tǒng)的程序����,可能造成用戶的系統(tǒng)被破壞甚至癱瘓���。
什么是后門����?大家都知道����,一臺計算機上有65535個端口�,那么如果把計算機看作是一間屋子����,那么這65535個端口就可以它看做是計算機為了與外界連接所開的65535扇門。每個門的背后都是一個服務(wù)����。有的門是主人特地打開迎接客人的(提供服務(wù)),有的門是主人為了出去訪問客人而開設(shè)的(訪問遠(yuǎn)程服務(wù))——理論上���,剩下的其他門都該是關(guān)閉著的��,但偏偏由于各種原因�����,很多門都是開啟的���。于是就有好事者進(jìn)入,主人的隱私被刺探��,生活被打擾�,甚至屋里的東西也被搞得一片狼跡��。這扇悄然被開啟的門——就是“后門”。
webshell的優(yōu)點
webshell 最大的優(yōu)點就是可以穿越防火墻�����,由于與被控制的服務(wù)器或遠(yuǎn)程主機交換的數(shù)據(jù)都是通過80端口傳遞的�����,因此不會被防火墻攔截�����。并且使用webshell一般不會在系統(tǒng)日志中留下記錄�,只會在網(wǎng)站的web日志中留下一些數(shù)據(jù)提交記錄,沒有經(jīng)驗的管理員是很難看出入侵痕跡的�����。
如何尋找webshel:
1��,腳本攻擊SQL注入
2���,使用注入工具
3����,在瀏覽器里打開百度,輸入搜索關(guān)鍵詞"在本頁操作不需要FSO支持&"或者"一次只能執(zhí)行一個操作",然后點擊搜索,很快就可以看到檢索到了大量的查詢結(jié)果.
其他的東西,暫時不多說了�,以后再深入吧,每天準(zhǔn)備一個話題��,需要的是巨大的毅力和努力��,我們舉辦的每日講座就是為了通俗容易懂的普及信息安全知識���,讓不喜歡看文章�����,覺得信息安全知識很深奧枯燥的人都明白�,其實他只要花很少時間�,就可以了解很多信息安全知識!
為了更好理解webshell我們學(xué)習(xí)兩個概念:
問:什么是“木馬”�?
答:“木馬”全稱是“特洛伊木馬(Trojan Horse)”。原指古希臘士兵藏在木馬內(nèi)進(jìn)入敵方城市從而占領(lǐng)敵方城市的故事���。
在互聯(lián)網(wǎng)上����,“特洛伊木馬”指一些程序設(shè)計人員在其可從網(wǎng)絡(luò)上下載(Download)的應(yīng)用程序或游戲中,包含了可以控制用戶的計算機系統(tǒng)的程序���,可能造成用戶的系統(tǒng)被破壞甚至癱瘓���。
問:什么是后門��?
答:大家都知道�,一臺計算機上有65535個端口,那么如果把計算機看作是一間屋子���,那么這65535個端口就可以它看做是計算機為了與外界連接所開的65535扇門�����。每個門的背后都是一個服務(wù)�。有的門是主人特地打開迎接客人的(提供服務(wù))���,有的門是主人為了出去訪問客人而開設(shè)的(訪問遠(yuǎn)程服務(wù))���。
理論上,剩下的其他門都該是關(guān)閉著的�,但偏偏由于各種原因���,很多門都是開啟的。
于是就有好事者進(jìn)入�,主人的隱私被刺探,生活被打擾����,甚至屋里的東西也被搞得一片狼跡。
這扇悄然被開啟的門就是“后門”����。
推薦:webshell的優(yōu)點
webshell 最大的優(yōu)點就是可以穿越防火墻,由于與被控制的服務(wù)器或遠(yuǎn)程主機交換的數(shù)據(jù)都是通過80端口傳遞的���,因此不會被防火墻攔截�。
并且使用webshell一般不會在系統(tǒng)日志中留下記錄��,只會在網(wǎng)站服務(wù)器的日志中留下一些數(shù)據(jù)提交記錄�,沒有經(jīng)驗的管理員是很難看出入侵痕跡的。
問:網(wǎng)站提權(quán)
答:所謂網(wǎng)站提權(quán)���,是入侵者慣用做法����,通過
