一、什么是WebShell? 简单的说web shell 就是等于别人网站的操作权限，你有哪个网站的shell 就是有哪个网站的操作权限，你可以在他网站挂你们网站的单向链接，也可以用他们网站首页做灰色词，甚至可以在他们网站新增目录做灰色词的排名。这也是为什么这么多人在收web shell 的原因，大多数都是用来做灰色行业，效果快，来钱快。 WebShell通常是以asp、php、jsp、asa或者cgi等网页文件形式存在的—种命令执行环境，也可以称为—种网页后门。黑客在入侵网站后，通常会将WebShell后门文件与网站服务器WEB目录下正常的网页文件混在—起，然后就可以使用浏览器来访问这些后门，得到命令执行环境，以达到控制网站或者WEB系统服务器的目的。这样就可以上传下载文件、查看数据库、执行任意程序命令等。 二、WebShell是如何入侵系统的? 1)利用系统前台的上传业务，上传WebShell脚本，上传的目录往往具有可执行的权限。在web中有上传图像、上传资料文件的地方，上传完后通常会向客户端返回上传的文件的完整URL信息，有时候不反馈，我们也可以猜到常见的image、upload等目录下面，如果Web对网站存取权限或者文件夹目录权限控制不严，就可能被利用进行webshell攻击，攻击者可以利用上传功能上传一个脚本文件，然后在通过url访问这个脚本，脚本就被执行。然后就会导致黑客可以上传webshell到网站的任意目录中，从而拿到网站的管理员控制权限。 2)客户获取管理员的后台密码，登陆到后台系统，利用后台的管理工具向配置文件写入WebShell木马，或者黑客私自添加上传类型，允许脚本程序类似asp、php的格式的文件上传。 3)利用数据库备份与恢复功能获取webshell。如备份时候把备份文件的后缀改成asp。或者后台有mysql数据查询功能，黑客可以通过执行select..in To outfile 查询输出php文件，然后通过把代码插入到mysql，从而导致生成了webshell的木马。 4)系统其他站点被攻击，或者服务器上还搭载了ftp服务器，ftp服务器被攻击了，然后被注入了webshell的木马，然后网站系统也被感染了。 5)黑客直接攻击Web服务器系统，Web服务器在系统层面也可能存在漏洞，如果黑客利用其漏洞攻击了服务器系统，那么黑客获取了其权限，则可以在web服务器目录里上传webshell文件。 三、WebShell能够肆虐的重要原因是什么? 1)WebShell能够被注入很大程度是由于win2003 IIS6.0的环境下造成的。在IIS6.0环境下，我们上传一个test.asp;.jpg的shell文件，发现在上传的时候，能够成功上传，因为监测为jpg的图片文件，但是在iis6.0解析的时候却当成了asp的动态网页文件被执行。因此我们知道webshell木马常见的特征：x.asp;.png,x.php;.txt... 2)WebShell的恶意脚本是和正常的网页文件混在一起的，同时被黑客控制的服务器和远处主机都是通过80端口来传递数据的，不会被防火墙拦截，一般也不会在系统日志中留下记录，，具有极强的隐蔽性，一般不容易被查杀。 四、如何防止系统被植入WebShell? 1)web服务器方面，开启防火墙，杀毒软件等，关闭远程桌面这些功能，定期更新服务器补丁和杀毒软件。 2)加强管理员的安全意识，在服务器上不浏览不安全网站，定期修改密码，同时对服务器上的ftp类似的也要加强安全管理，防止被系统的木马感染。 3)加强权限管理，对敏感目录进行权限设置，限制上传目录的脚本执行权限，不允许执行脚本。建议用IIS6.0以上版本，同时不要用默认80端口。 4)程序修补漏洞，程序要优化上传x.asp;.png这样类似的文件。

一、什么是WebShell? 简单的说web shell 就是等于别人网站的操作权限，你有哪个网站的shell 就是有哪个网站的操作权限，你可以在他网站挂你们网站的单向链接，也可以用他们网站首页做灰色词，甚至可以在他们网站新增目录做灰色词的排名。这也是为什么这么多人在收web shell 的原因，大多数都是用来做灰色行业，效果快，来钱快。 WebShell通常是以asp、php、jsp、asa或者cgi等网页文件形式存在的—种命令执行环境，也可以称为—种网页后门。黑客在入侵网站后，通常会将WebShell后门文件与网站服务器WEB目录下正常的网页文件混在—起，然后就可以使用浏览器来访问这些后门，得到命令执行环境，以达到控制网站或者WEB系统服务器的目的。这样就可以上传下载文件、查看数据库、执行任意程序命令等。 二、WebShell是如何入侵系统的? 1)利用系统前台的上传业务，上传WebShell脚本，上传的目录往往具有可执行的权限。在web中有上传图像、上传资料文件的地方，上传完后通常会向客户端返回上传的文件的完整URL信息，有时候不反馈，我们也可以猜到常见的image、upload等目录下面，如果Web对网站存取权限或者文件夹目录权限控制不严，就可能被利用进行webshell攻击，攻击者可以利用上传功能上传一个脚本文件，然后在通过url访问这个脚本，脚本就被执行。然后就会导致黑客可以上传webshell到网站的任意目录中，从而拿到网站的管理员控制权限。 2)客户获取管理员的后台密码，登陆到后台系统，利用后台的管理工具向配置文件写入WebShell木马，或者黑客私自添加上传类型，允许脚本程序类似asp、php的格式的文件上传。 3)利用数据库备份与恢复功能获取webshell。如备份时候把备份文件的后缀改成asp。或者后台有mysql数据查询功能，黑客可以通过执行select..in To outfile 查询输出php文件，然后通过把代码插入到mysql，从而导致生成了webshell的木马。 4)系统其他站点被攻击，或者服务器上还搭载了ftp服务器，ftp服务器被攻击了，然后被注入了webshell的木马，然后网站系统也被感染了。 5)黑客直接攻击Web服务器系统，Web服务器在系统层面也可能存在漏洞，如果黑客利用其漏洞攻击了服务器系统，那么黑客获取了其权限，则可以在web服务器目录里上传webshell文件。 三、WebShell能够肆虐的重要原因是什么? 1)WebShell能够被注入很大程度是由于win2003 IIS6.0的环境下造成的。在IIS6.0环境下，我们上传一个test.asp;.jpg的shell文件，发现在上传的时候，能够成功上传，因为监测为jpg的图片文件，但是在iis6.0解析的时候却当成了asp的动态网页文件被执行。因此我们知道webshell木马常见的特征：x.asp;.png,x.php;.txt... 2)WebShell的恶意脚本是和正常的网页文件混在一起的，同时被黑客控制的服务器和远处主机都是通过80端口来传递数据的，不会被防火墙拦截，一般也不会在系统日志中留下记录，，具有极强的隐蔽性，一般不容易被查杀。 四、如何防止系统被植入WebShell? 1)web服务器方面，开启防火墙，杀毒软件等，关闭远程桌面这些功能，定期更新服务器补丁和杀毒软件。 2)加强管理员的安全意识，在服务器上不浏览不安全网站，定期修改密码，同时对服务器上的ftp类似的也要加强安全管理，防止被系统的木马感染。 3)加强权限管理，对敏感目录进行权限设置，限制上传目录的脚本执行权限，不允许执行脚本。建议用IIS6.0以上版本，同时不要用默认80端口。 4)程序修补漏洞，程序要优化上传x.asp;.png这样类似的文件。