网站被植入Webshell的解决方案
什么是Webshell
从字面上理解,”Web”指需要服务器开放Web服务,”shell”指取得对服务器的某种程度的操作权限。Webshell指匿名用户(入侵者)通过网站端口,获取网站服务器的一定操作权限。
Webshell通常是以ASP、PHP、JSP、ASA或者CGI等网页文件形式存在的一种命令执行环境,也称为网页后门。黑客在入侵网站后,通常会将Webshell后门文件与网站服务器Web目录下正常的网页文件混在一起;然后使用浏览器来访问这些后门,得到命令执行环境,以达到控制网站或者Web系统服务器的目的。
黑客如果想使用Webshell完成一些特殊的功能,就不可避免地用到一些特殊函数。通过对这些函数进行对照特征值检查,就能够定位Webshell,但是Webshell本身也会进行加密来躲避这种检测。
Webshell 样例
以下是一个ASP Webshell的样例。从界面看,它的功能还是比较全的,可以对服务器的文件目录进行读写操作。如果你是网站管理员的话,肯定不希望普通用户获得下面的权限。
Webshell如何被注入
常见的Webshell植入方式以下类型:
利用站点上传漏洞,上传Webshell。
系统前台的上传业务可被利用来上传Webshell脚本,而被上传的目录往往对用户开放可执行权限。在Web中有上传图像、资料文件的地方,上传完后通常会向客户端返回上传文件的完整URL信息;该URL一般是常见的image、upload等目录。
如果Web服务器对网站存取权限或者文件夹目录权限控制不严,就可能被利用来实现Webshell攻击。攻击者可以利用上传功能上传一个脚本文件,然后通过URL访问并执行这个脚本;然后攻击者就可以上传Webshell到网站的任意目录中,从而拿到网站的管理员控制权限。
黑客获取管理员的后台密码,登录到后台系统,利用后台的管理工具向配置文件写入Webshell木马;或者私自添加上传类型,允许上传类似ASP、PHP格式的脚本程序文件。
利用数据库备份与恢复功能获取Webshell。例如,备份时把备份文件的后缀改成 .asp;如果后台有MySQL数据查询功能,黑客可以执行
select..in To outfile
查询输出PHP文件,并把代码插入到MySQL,从而生成Webshell的木马。系统中其他站点被攻击,或者服务器上还搭载了FTP服务器。FTP服务器被攻击时被注入了Webshell的木马,导致网站系统被感染。
黑客直接攻击Web服务器系统漏洞,实现入侵。Web服务器在系统层面也可能存在漏洞,如果黑客利用其漏洞攻击服务器系统;在获取其权限后,黑客就可以在Web服务器目录里上传Webshell文件。
综上,Webshell能够入侵到系统,一般是由于以下原因:
通过Web站点漏洞上传Webshell。
Webshell能够被注入,在很大程度是由于服务器或中间件的安全漏洞。例如,以下常见漏洞都可能被利用来注入Webshell:旧版本的IIS目录解析漏洞、文件名解析漏洞、应用后台暴露和弱口令、Fast-CGI解析漏洞、Apache文件解析漏洞、截断上传、后台数据库备份功能上传、数据库语句上传漏洞等。
站点部署时混入了Webshell文件。
大量的用户在使用从网上下载的第三方开源代码时,其代码本身已经混入了Webshell的恶意脚本,造成二次入侵或多次入侵。所以在部署前期,如果不是新开发的代码,都需要对代码进行恶意文件扫描查杀,防止上线后被入侵。
如何防止系统被植入Webshell
配置必要的防火墙并开启防火墙策略;防止暴露不必要的服务,为黑客提供利用条件。
对服务器进行 安全加固。例如,关闭远程桌面功能、定期更换密码、禁止使用最高权限用户运行程序、使用HTTPS加密协议。
加强权限管理,对敏感目录进行权限设置,限制上传目录的脚本执行权限,不允许配置执行权限等。
安装Webshell检测工具,发现检测结果后,立即隔离查杀,并排查漏洞。
排查程序存在的漏洞,并及时修补漏洞。您可以通过应急响应服务人工界入,协助排查漏洞及入侵原因,同时可以选用阿里云商业Web应用防火墙进行防御,降低被入侵机率。
转载于:https://www.cnblogs.com/peteremperor/p/10595054.html
网站被植入Webshell的解决方案相关推荐
- PHP 实现多网站共享用户SESSION 数据解决方案
PHP 实现多网站共享用户SESSION 数据解决方案 来源URL:http://blog.csdn.net/dongdongzzcs/article/details/6906613 一.问题起源 稍 ...
- 像淘宝、京东这样的大型电商网站服务器构架完全部署解决方案
像淘宝.京东这样的大型电商网站服务器构架完全部署解决方案 参考文章: (1)像淘宝.京东这样的大型电商网站服务器构架完全部署解决方案 (2)https://www.cnblogs.com/lazb/p ...
- 一个WEB网站高并发量的解决方案
一个WEB网站高并发量的解决方案 参考文章: (1)一个WEB网站高并发量的解决方案 (2)https://www.cnblogs.com/dotnetHui/p/7943605.html 备忘一下.
- 网站服务器的解决方案有,Web网站服务器DDOS攻击的解决方案
Web网站服务器DDOS攻击的解决方案,有需要了解的朋友可参考一下,这里我们只介绍免费的防ddos攻击的解决办法. 1. 服务器端分析方法 (1)SYNFlood攻击判定 A:网上邻居->右键 ...
- thymeleaf加载不了js引用_网站首页加载慢解决方案
打开网页,用户最满意的时间是2-5秒,如果用户等待超过10秒,99%的用户会关闭这个网页.那么,是什么原因会导致网站打开慢?又有什么办法解决呢?一般来说,http请求过多.网页过大.服务器性能过差等等 ...
- python3.x+requests 爬取网站遇到中文乱码的解决方案
正常情况下,遇见问题上google找答案能甩百度100条街,但是这个问题是个例外······人家老外就没有乱码的问题.言归正传,首先建议大家看一下python3.x+requests 爬取网站遇到中文 ...
- 深度解析大型分布式电商网站演变过程以及构架部署解决方案
前言: 本文是学习大型分布式网站架构的技术总结.对架构一个高性能,高可用,可伸缩,可扩展的分布式网站进行了概要性描述,并给出一个架构参考.一部分为读书笔记,一部分是个人经验总结.对大型分布式网站架构有 ...
- 部署在IIS上的网站返回错误码 “405”解决方案
部署在IIS上的网站返回错误码 "405"解决方案 参考文章: (1)部署在IIS上的网站返回错误码 "405"解决方案 (2)https://www.cnbl ...
- 如何处理网站被植入恶意的一些代码导致的被机房拦截提示
最近收到客户的网站被黑客入侵导致被篡改植入了一些恶意代码,具体的提示如下: 接到客户的反映情况如下: 客户说:网站被植入恶意的一些代码,像一些赌博的网站内容,怎么处理现在服务器那边检测到了 网站被停掉 ...
最新文章
- Cloud Foundry 登录 Azure,一键快速部署 PaaS
- Cent os常见操作命令
- Pyqt5+python+ErIC6+QT designer
- 秘罗地伤痕 -- 暂存小说草稿
- 如何用VB实现Excel文件的自动合并
- Xcode C++ and Objective-C refactoring
- Redis客户端工具-AnotherRedisDesktopManager
- MATLAB符号运算——积分
- 【1月7日】议程正式公布!年度AIoT产业盛典重磅来袭!
- 标学历年真题2016年版 真考题库1 电子表格
- N多的红烧茄子做法!
- Android中的指纹识别
- Windows7截图教学
- 验证正整数和0,不以0开头的数,如01,02则不通过
- python均匀分布
- 推荐10个在线logo设计网站
- 数据库——sql修改主键
- 第三次作业(周静 李盼)
- 发现几个好玩的游戏编程平台,与君共勉
- css的@font-face和box-shadow、text-shadow属性
热门文章
- 发现个Mac上 好玩的快捷键 苹果图标快捷键
- 基金评价专题1:绩效指标
- 一行命令搞定mac安装git(mac 12.2.1版本 )
- Ubuntu 18.04 Server 设置静态IP
- 那些一目了然的3D地质模型 【转】
- CALayer 3 详解 -----转自李明杰
- 178.分数排名(数据库)
- 中台“不火”了,企业“底座”却火了
- 软件安装管家【软件目录】
- word另存为html emz和wmz,轉載:如何將offcie 2003文檔(.doc、.xls、.ppt)轉換成mht文檔...