作者:神刀
webshell,不用說了吧!,後門,古今中外破網必上門,大有一口被捅,千站具廢之說,吹大了,主題吧.
首先我們以黑暗者說,一旦進入站點,就會留後門,而且目前主流都是asp,php免殺,aspx還比較少,免殺馬我就跳過吧.
1.進入站點,查看目錄權限,可不可以寫入和跨目錄
2.查看admin,data,inc,upload等目錄內部信息,或者站少人訪問的直接站點根目錄留.
3.免殺小馬一般會在upload上傳目錄或者圖片目錄上傳,有時候直接就在主頁index裏面包含跳轉上傳隱藏代碼,大馬一般不在根目錄,站長得到的地方出現,會利用另名來迷惑站長,比如css.asp,或者inc2.asp,ad1.asp這些放在特定文件夾裏,而遇上懶的站長,就會把這個shell幫忙永久保存了,呵呵..用wenshell掃描器一般可以將大部分的webshell掃出來,除非經過特殊免殺代碼轉換,或者利用iis6.0的解析漏洞,比如123.asp;123.jpg,win2000系統會默認爲圖片格式,但是默認的win2003iis6不會,直接解析成腳本執行,會導致webshell的出現,在動態單頁面裏包含一句話提交又或者利用include包含大法執行,也是查不到後門的方法,大夥可以去挖挖.
好了,簡單講到這我們從光明的站長說吧,站點沒出現什麼訪問問題,不代表沒問題,oday,代碼漏洞,注入,xss,nc上傳等分分鐘都可以使站點遭人種webshell
1.前面提到基本的方法就是shell掃描器,還有就是利用文件對比和舊的備份資料做對比,如果沒有備份也沒關係,直接把最新的文件列出來,用dreamwear查看代碼,一般大牛用它來挖洞的噢..呵呵.
2.頁面注入安全要防注,用戶帳號權限要限制,目錄腳本執行也要限制,一般上傳圖片的就禁止執行,其他目錄禁止寫入,刪掉ws組建和cmd,除非是自己維護站點的,否則管理後臺全部改名,且進行網段ip限制,自己的固定ip纔可以登錄後臺.
3.網站如果用過編輯器,比如ewebeditor,fck這些的,把無相關的刪掉,編輯器登錄後臺地址刪掉,編輯器後臺管理員帳戶密碼複雜化,去除帶有可上傳asa,asp,asasp,phpaspx,這些後綴,數據庫設置爲只讀.
4.對可疑html清除包含漏洞,上面說過,可以包含上傳代碼運行呢.就像這樣:index?id=nhs8.com,就可以進入上傳畫面.
5.還是那句話,經常備份,升級網頁程序,掃描,查看記錄.
這樣估計可以屏蔽掉大部分***,除非該webshell深藏到極度難以察覺,點一下思路咯.該文件的名稱到最後修改時間,中間還跳轉到系統頁面裏的包含文件的一句話後門,而且該一句話後門也是特殊加密加碼的.