WebShell木馬入侵了網(wǎng)站怎么辦?
近日收到客戶的反饋,說運(yùn)行了一年的網(wǎng)站突然遭到黑客的攻擊,系統(tǒng)cpu一直保持在100%,有進(jìn)程也干不掉,然后客戶就進(jìn)行殺毒了,然后就把所有的 exe文件都?xì)⒘耍缓笙到y(tǒng)也就很多功能不正常了,數(shù)據(jù)庫的服務(wù)也干掉了,然后我去看了下,發(fā)現(xiàn)網(wǎng)站目錄下面被上傳了大量的asp、php,htm的頁 面,里面的目錄也有黑客上傳了自己的目錄,瀏覽哪些defalut.asp等方面的頁面,就是黑客植入的頁面,那要是被用戶看見了,那真是一炮走紅啊,黑 客還很牛B的留下了腳印,果斷寫了自己的大名,在這種情況下,意識到這是中了WebShell木馬,我立刻關(guān)閉了網(wǎng)站,然后來找解決方案。
一、什么是WebShell木馬?
WebShell通常是以asp、php、jsp、asa或者cgi等網(wǎng)頁文件形式存在的—種命令執(zhí)行環(huán)境,也可以稱為—種網(wǎng)頁后門。黑客在入侵網(wǎng) 站后,通常會將WebShell后門文件與網(wǎng)站服務(wù)器WEB目錄下正常的網(wǎng)頁文件混在—起,然后就可以使用瀏覽器來訪問這些后門,得到命令執(zhí)行環(huán)境,以達(dá) 到控制網(wǎng)站或者WEB系統(tǒng)服務(wù)器的目的。這樣就可以上傳下載文件、查看數(shù)據(jù)庫、執(zhí)行任意程序命令等。
二、WebShell是如何入侵系統(tǒng)的?
1)利用系統(tǒng)前臺的上傳業(yè)務(wù),上傳WebShell腳本,上傳的目錄往往具有可執(zhí)行的權(quán)限。在web中有上傳圖像、上傳資料文件的地方,上傳完后通 常會向客戶端返回上傳的文件的完整URL信息,有時候不反饋,我們也可以猜到常見的image、upload等目錄下面,如果Web對網(wǎng)站存取權(quán)限或者文 件夾目錄權(quán)限控制不嚴(yán),就可能被利用進(jìn)行webshell攻擊,攻擊者可以利用上傳功能上傳一個腳本文件,然后在通過url訪問這個腳本,腳本就被執(zhí)行。 然后就會導(dǎo)致黑客可以上傳webshell到網(wǎng)站的任意目錄中,從而拿到網(wǎng)站的管理員控制權(quán)限。
2)客戶獲取管理員的后臺密碼,登陸到后臺系統(tǒng),利用后臺的管理工具向配置文件寫入WebShell木馬,或者黑客私自添加上傳類型,允許腳本程序類似asp、php的格式的文件上傳。
3)利用數(shù)據(jù)庫備份與恢復(fù)功能獲取webshell。如備份時候把備份文件的后綴改成asp。或者后臺有mysql數(shù)據(jù)查詢功能,黑客可以通過執(zhí)行 select..in To outfile 查詢輸出php文件,然后通過把代碼插入到mysql,從而導(dǎo)致生成了webshell的木馬。
4)系統(tǒng)其他站點(diǎn)被攻擊,或者服務(wù)器上還搭載了ftp服務(wù)器,ftp服務(wù)器被攻擊了,然后被注入了webshell的木馬,然后網(wǎng)站系統(tǒng)也被感染了。
5)黑客直接攻擊Web服務(wù)器系統(tǒng),Web服務(wù)器在系統(tǒng)層面也可能存在漏洞,如果黑客利用其漏洞攻擊了服務(wù)器系統(tǒng),那么黑客獲取了其權(quán)限,則可以在web服務(wù)器目錄里上傳webshell文件。
三、WebShell能夠肆虐的重要原因是什么?
1)WebShell能夠被注入很大程度是由于win2003 IIS6.0的環(huán)境下造成的。在IIS6.0環(huán)境下,我們上傳一個test.asp;.jpg的shell文件,發(fā)現(xiàn)在上傳的時候,能夠成功上傳,因?yàn)楸O(jiān) 測為jpg的圖片文件,但是在iis6.0解析的時候卻當(dāng)成了asp的動態(tài)網(wǎng)頁文件被執(zhí)行。因此我們知道webshell木馬常見的特 征:x.asp;.png,x.php;.txt...
2)WebShell的惡意腳本是和正常的網(wǎng)頁文件混在一起的,同時被黑客控制的服務(wù)器和遠(yuǎn)處主機(jī)都是通過80端口來傳遞數(shù)據(jù)的,不會被防火墻攔截,一般也不會在系統(tǒng)日志中留下記錄,,具有極強(qiáng)的隱蔽性,一般不容易被查殺。
四、華軍深圳數(shù)據(jù)恢復(fù)告訴你如何防止系統(tǒng)被植入WebShell?
1)web服務(wù)器方面,開啟防火墻,殺毒軟件等,關(guān)閉遠(yuǎn)程桌面這些功能,定期更新服務(wù)器補(bǔ)丁和殺毒軟件。
2)加強(qiáng)管理員的安全意識,在服務(wù)器上不瀏覽不安全網(wǎng)站,定期修改密碼,同時對服務(wù)器上的ftp類似的也要加強(qiáng)安全管理,防止被系統(tǒng)的木馬感染。
3)加強(qiáng)權(quán)限管理,對敏感目錄進(jìn)行權(quán)限設(shè)置,限制上傳目錄的腳本執(zhí)行權(quán)限,不允許執(zhí)行腳本。建議用IIS6.0以上版本,同時不要用默認(rèn)80端口。
4)程序修補(bǔ)漏洞,程序要優(yōu)化上傳x.asp;.png這樣類似的文件。
沈陽數(shù)據(jù)恢復(fù) 
