什么是Webshell

从字面上理解，”Web”指需要服务器开放Web服务，”shell”指取得对服务器的某种程度的操作权限。Webshell指匿名用户（入侵者）通过网站端口，获取网站服务器的一定操作权限。

Webshell通常是以ASP、PHP、JSP、ASA或者CGI等网页文件形式存在的一种命令执行环境，也称为网页后门。黑客在入侵网站后，通常会将Webshell后门文件与网站服务器Web目录下正常的网页文件混在一起；然后使用浏览器来访问这些后门，得到命令执行环境，以达到控制网站或者Web系统服务器的目的。

黑客如果想使用Webshell完成一些特殊的功能，就不可避免地用到一些特殊函数。通过对这些函数进行对照特征值检查，就能够定位Webshell，但是Webshell本身也会进行加密来躲避这种检测。

Webshell 样例

以下是一个ASP Webshell的样例。从界面看，它的功能还是比较全的，可以对服务器的文件目录进行读写操作。如果你是网站管理员的话，肯定不希望普通用户获得下面的权限。

Webshell如何被注入

常见的Webshell植入方式以下类型：

• 利用站点上传漏洞，上传Webshell。

  系统前台的上传业务可被利用来上传Webshell脚本，而被上传的目录往往对用户开放可执行权限。在Web中有上传图像、资料文件的地方，上传完后通常会向客户端返回上传文件的完整URL信息；该URL一般是常见的image、upload等目录。

  如果Web服务器对网站存取权限或者文件夹目录权限控制不严，就可能被利用来实现Webshell攻击。攻击者可以利用上传功能上传一个脚本文件，然后通过URL访问并执行这个脚本；然后攻击者就可以上传Webshell到网站的任意目录中，从而拿到网站的管理员控制权限。

• 黑客获取管理员的后台密码，登录到后台系统，利用后台的管理工具向配置文件写入Webshell木马；或者私自添加上传类型，允许上传类似ASP、PHP格式的脚本程序文件。

• 利用数据库备份与恢复功能获取Webshell。例如，备份时把备份文件的后缀改成 .asp；如果后台有MySQL数据查询功能，黑客可以执行select..in To outfile查询输出PHP文件，并把代码插入到MySQL，从而生成Webshell的木马。

• 系统中其他站点被攻击，或者服务器上还搭载了FTP服务器。FTP服务器被攻击时被注入了Webshell的木马，导致网站系统被感染。

• 黑客直接攻击Web服务器系统漏洞，实现入侵。Web服务器在系统层面也可能存在漏洞，如果黑客利用其漏洞攻击服务器系统；在获取其权限后，黑客就可以在Web服务器目录里上传Webshell文件。

综上，Webshell能够入侵到系统，一般是由于以下原因：

• 通过Web站点漏洞上传Webshell。

  Webshell能够被注入，在很大程度是由于服务器或中间件的安全漏洞。例如，以下常见漏洞都可能被利用来注入Webshell：旧版本的IIS目录解析漏洞、文件名解析漏洞、应用后台暴露和弱口令、Fast-CGI解析漏洞、Apache文件解析漏洞、截断上传、后台数据库备份功能上传、数据库语句上传漏洞等。

• 站点部署时混入了Webshell文件。

  大量的用户在使用从网上下载的第三方开源代码时，其代码本身已经混入了Webshell的恶意脚本，造成二次入侵或多次入侵。所以在部署前期，如果不是新开发的代码，都需要对代码进行恶意文件扫描查杀，防止上线后被入侵。

如何防止系统被植入Webshell

• 配置必要的防火墙并开启防火墙策略；防止暴露不必要的服务，为黑客提供利用条件。

• 对服务器进行 安全加固。例如，关闭远程桌面功能、定期更换密码、禁止使用最高权限用户运行程序、使用HTTPS加密协议。

• 加强权限管理，对敏感目录进行权限设置，限制上传目录的脚本执行权限，不允许配置执行权限等。

• 安装Webshell检测工具，发现检测结果后，立即隔离查杀，并排查漏洞。

• 排查程序存在的漏洞，并及时修补漏洞。您可以通过应急响应服务人工界入，协助排查漏洞及入侵原因，同时可以选用阿里云商业Web应用防火墙进行防御，降低被入侵机率。