據(jù)有關(guān)報(bào)道指出，某政府網(wǎng)站被黑后，有關(guān)安全檢測(cè)技術(shù)人員在經(jīng)過(guò)詳細(xì)排查后，確認(rèn)是WebShell木馬后門。更值得警惕的是黑客對(duì)木馬文件的代碼進(jìn)行了加密，由此繞過(guò)了Web防火墻和防病毒軟件的查殺，并且木馬文件建立的時(shí)間在架設(shè)安全設(shè)備之前，甚至有若干木馬文件一年前就已經(jīng)存在。

1.WebShell的概念和危害性

WebShell就是以asP、php、jsp或者cgi等網(wǎng)頁(yè)文件形式存在的—種命令執(zhí)行環(huán)境，也可以稱為—種網(wǎng)頁(yè)后門。黑客在入侵網(wǎng)站后，通常會(huì)將WebShell后門文件與網(wǎng)站服務(wù)器WEB目錄下正常的網(wǎng)頁(yè)文件混在—起，然后就可以使用瀏覽器來(lái)訪問(wèn)這些后門，得到命令執(zhí)行環(huán)境，以達(dá)到控制網(wǎng)站或者WEB系統(tǒng)服務(wù)器的目的(可以上傳下載文件、查看數(shù)據(jù)庫(kù)、執(zhí)行任意程序命令等)。

2. 黑客部署WebShell木馬后門的幾種途徑

.黑客直接上傳WebShell：因過(guò)濾上傳文件不嚴(yán)，導(dǎo)致黑客可以直接上傳 WebShell到網(wǎng)站任意可寫目錄中，從而拿到網(wǎng)站的管理員控制權(quán)限：

.黑客私自添加修改上傳類型：現(xiàn)在很多腳本程序上傳模塊不是只允許上傳合法文件類型，實(shí)際上大多數(shù)的系統(tǒng)是允許添加上傳類型，由此很容易被黑客利用：

.黑客利用WEB系統(tǒng)后臺(tái)管理功能寫入WebShell：黑客進(jìn)入WEB系統(tǒng)后臺(tái)

例如網(wǎng)站后臺(tái)后還可以通過(guò)修改相關(guān)文件來(lái)寫入WebShell;

.黑客利用后臺(tái)管理工具向配置文件寫入WebShell;

.黑客利用后臺(tái)數(shù)據(jù)庫(kù)備份及恢復(fù)功能獲得Webshell：主要是利用后臺(tái)對(duì)

access數(shù)據(jù)庫(kù)的“備份數(shù)據(jù)庫(kù)”或“恢復(fù)數(shù)據(jù)庫(kù)”功能,“備份的數(shù)據(jù)庫(kù)路徑”等變量沒(méi)有過(guò)濾導(dǎo)致可以把任意文件后綴改為asp，從而得到WebShell;

.黑客利用后臺(tái)mysql數(shù)據(jù)查詢功能獲得Wbshell：后臺(tái)只要有mysql數(shù)據(jù)查詢功能，黑客就可以利用它執(zhí)行SELECT...in TO OUTFILE查詢輸出php文件，因?yàn)樗械臄?shù)據(jù)是存放在mysql里的，所以黑客可以通過(guò)正常手段把WebsheIl代碼插入mysql在利用SELECT...in TO OUTFILE語(yǔ)句導(dǎo)出shell;

3.Wbshell的隱蔽性

Wbshell有些惡意網(wǎng)頁(yè)腳本可以嵌套在正常網(wǎng)頁(yè)中運(yùn)行，因此不容易被查

殺。由于與被黑客控制的唧系統(tǒng)服務(wù)器或黑客遠(yuǎn)程主機(jī)交換的數(shù)據(jù)都是通過(guò)

80端口傳遞的，因此Wbshell不會(huì)被防火墻攔截。同時(shí)，使用Wbshell一般

不會(huì)在系統(tǒng)日志中留下記錄，只會(huì)在網(wǎng)站的web日志中留下一些數(shù)據(jù)提交記錄，很難發(fā)現(xiàn)入侵痕跡。

4.如何進(jìn)行加固和防范

.對(duì)ftp進(jìn)行權(quán)限設(shè)置，取消匿名訪問(wèn)。

.對(duì)目錄進(jìn)行權(quán)限設(shè)置，不同網(wǎng)站使用不同的用戶權(quán)限。

.對(duì)系統(tǒng)盤的敏感目錄及文件進(jìn)行權(quán)限設(shè)置，提高系統(tǒng)安全性。

.定期更新服務(wù)器補(bǔ)丁，定期更新殺毒軟件。