一、如何防止系統(tǒng)被植入WebShell?

1、Web服務(wù)器開啟防火墻、殺毒軟件等，關(guān)閉遠(yuǎn)程桌面功能，定期更新服務(wù)器補(bǔ)丁和殺毒軟件。

2、加強(qiáng)管理員的安全意識(shí)，不瀏覽服務(wù)器上不安全的網(wǎng)站，定期修改密碼。同時(shí)對(duì)服務(wù)器端的ftp也要加強(qiáng)類似的安全管理，防止被系統(tǒng)木馬感染。

3、加強(qiáng)權(quán)限管理，對(duì)敏感目錄設(shè)置權(quán)限，對(duì)上傳目錄限制腳本執(zhí)行權(quán)限，不允許腳本執(zhí)行。建議使用IIS6.0以上版本，不要使用默認(rèn)的80端口。

4. 修補(bǔ)程序漏洞，優(yōu)化程序上傳x.asp;png等文件。

　　二、WebShell是如何入侵系統(tǒng)的？

1、利用系統(tǒng)前臺(tái)的上傳服務(wù)上傳WebShell腳本，上傳的目錄往往有可執(zhí)行權(quán)限。在網(wǎng)絡(luò)上，有上傳圖片和上傳數(shù)據(jù)文件的地方。上傳完成后，通常會(huì)將上傳文件的完整URL信息返回給客戶端。有時(shí)沒(méi)有反饋。我們也可以猜測(cè)在常用的image、upload等目錄下。如果Web沒(méi)有嚴(yán)格控制網(wǎng)站訪問(wèn)權(quán)限或文件夾目錄權(quán)限，就有可能被用來(lái)進(jìn)行webshell攻擊。攻擊者可以使用上傳功能上傳一個(gè)腳本文件，然后通過(guò)url訪問(wèn)腳本，腳本就會(huì)被執(zhí)行。那么就會(huì)導(dǎo)致黑客將webshell上傳到網(wǎng)站的任意目錄，從而獲得網(wǎng)站的管理員控制權(quán)限。

（推來(lái)客網(wǎng)站建設(shè)）

2、客戶獲取管理員后臺(tái)密碼，登錄后臺(tái)系統(tǒng)，利用后臺(tái)管理工具在配置文件中寫入WebShell木馬，或者黑客私自添加上傳類型，讓腳本程序上傳格式類似于asp 和php 的文件。

3、使用數(shù)據(jù)庫(kù)備份恢復(fù)功能獲取webshell。例如備份時(shí)將備份文件的后綴改為asp?；蛘吆笈_(tái)有mysql數(shù)據(jù)查詢功能，黑客可以通過(guò)執(zhí)行select.in來(lái)查詢輸出php文件到outfile，然后將代碼插入到mysql中，從而產(chǎn)生webshell木馬。

4、系統(tǒng)其他站點(diǎn)被攻擊，或者服務(wù)器配置了ftp服務(wù)器，ftp服務(wù)器被攻擊，然后注入webshell木馬，網(wǎng)站系統(tǒng)也被感染。

5、黑客直接攻擊web服務(wù)器系統(tǒng)。 Web 服務(wù)器也可能在系統(tǒng)級(jí)別存在漏洞。如果黑客利用該漏洞對(duì)服務(wù)器系統(tǒng)進(jìn)行攻擊，獲得權(quán)限后，黑客可以上傳web服務(wù)器目錄下的webshell文件。

　三、什么是WebShell木馬？

WebShell通常以asp、php、jsp、asa、cgi等網(wǎng)頁(yè)形式作為命令執(zhí)行環(huán)境存在，也可稱為網(wǎng)頁(yè)后門。黑客入侵網(wǎng)站后，通常會(huì)將WebShell后門文件與網(wǎng)站服務(wù)器WEB目錄下的正常網(wǎng)頁(yè)文件混在一起，然后利用瀏覽器訪問(wèn)這些后門，獲取命令執(zhí)行環(huán)境，從而控制網(wǎng)站或WEB系統(tǒng)服務(wù)器的目標(biāo)。通過(guò)這種方式，您可以上傳和下載文件、查看數(shù)據(jù)庫(kù)、執(zhí)行任意程序命令等。

　　四、WebShell能夠肆虐的重要原因是什么？

1. win2003 IIS6.0環(huán)境下，WebShell可以被注入的可能性很大。在IIS6.0環(huán)境下，我們上傳了一個(gè)test.asp;jpg的shell文件，上傳的時(shí)候發(fā)現(xiàn)可以上傳成功，因?yàn)閳D片文件檢測(cè)為jpg，但是在iis6中解析的時(shí)候卻認(rèn)為是asp。 0 執(zhí)行動(dòng)態(tài)網(wǎng)頁(yè)文件。于是我們知道了webshell木馬的共同特征：x.asp;png,x.php;txt.

2、WebShell惡意腳本混入正常網(wǎng)頁(yè)文件中。同時(shí)，黑客控制的服務(wù)器與遠(yuǎn)程主機(jī)通過(guò)80端口傳輸數(shù)據(jù)，不會(huì)被防火墻攔截，一般不會(huì)記錄在系統(tǒng)日志中。留下記錄極其隱蔽，一般不容易被發(fā)現(xiàn)和殺死。

我們專注高端建站，小程序開發(fā)、軟件系統(tǒng)定制開發(fā)、BUG修復(fù)、物聯(lián)網(wǎng)開發(fā)、各類API接口對(duì)接開發(fā)等。十余年開發(fā)經(jīng)驗(yàn)，每一個(gè)項(xiàng)目承諾做到滿意為止，多一次對(duì)比，一定讓您多一份收獲！