2015年7月28日 星期二

駭客攻擊的手法----植入webshell

何謂webshell?
webshel​​l就是以asp、php、jsp或者cgi等腳本程序,可以是你自己用來以網頁型式管理網站的工具。也可以稱之為一種網絡的後門(web backdoor,WebShell Trojan)。駭客在入侵了一個網站後,通常會將asp或php後門文件與網站服務器WEB目錄下正常的網頁文件混在一起,然後就可以使用瀏覽器來訪問asp或者php後門,得到一個命令執行環境,你可以上傳和下載文件,查看數據庫,執行任意命令。

webshell如何植入伺服器?
 1)利用系統檔案上傳的前台服務,上傳WebShell的腳本,上傳目錄往往權限控制不嚴或有可執行的權限。攻擊者可以利用上傳功能,上傳一個腳本文件或上傳假圖片,然後就可以使用瀏覽器來訪問asp或者php後門。
 2)客戶拿到後台管理員密碼,登錄到後台系統,放置WebShell木馬。
 3)sql injection。

成功案例:
WIN2003 IIS6.0環境。

優點:
惡意WebShell腳本和正常的web文檔是混合的,而主機服務器和遠程控制的駭客可以通過port80傳輸數據,而不會被防火牆阻擋,一般也不會在系統日誌發現記錄,具有較強的隱蔽性,一般不容易被查殺。

如何防止系統被植入的WebShell?
 1)Web服務器端,打開防火牆,防毒軟體,關閉這些功能的遠程桌面,經常安裝伺服器補丁並定期更新防毒軟體。
 2)管理員定期更改密碼,加強類似安全管理,防止伺服器被感染木馬。
 3)加強權限管理,目錄權限來限制敏感腳本執行權限上傳目錄不允許執行腳本。
 4)防止sql injection