收到客户反馈,说运营一年的网站突然被黑客攻击,系统cpu一直保持在100%,连过程都做不到。然后客户杀了毒品,杀了一切。exe文件,然后系统的许多功能不正常,数据库的服务也被杀死。然后我去看了看,发现网站目录上传了很多asp,php,htm页面。还有黑客上传自己目录的目录,defalut.asp黑客植入的页面是什么?如果被用户看到,真的是一炮而红。黑客依然牛逼,留下脚印,果断写下自己的名字。在这种情况下,我意识到这是一个WebShell木马,我立即关闭了网站,然后找到了解决办法。
1.什么是WebShell木马?
WebShell通常是asp、php、jsp、asa或cgi形式的命令执行环境,也可以称为web后门。黑客入侵网站后,通常会WebShell后门文件和网站服务器web将目录中的正常网页文件混合在一起,然后使用浏览器访问这些后门,获取命令执行环境,以控制网站或WEB系统服务器。这样传下载文件,查看数据库,执行任何程序命令等。
2.WebShell如何入侵系统?
1)上传系统前台的上传服务WebShell上传的脚本和目录通常有执行权。Web上传的图像和数据文件,完整的上传文件url信息通常在上传后返回到客户端。有时,如果没有反馈,我们也可以猜测在图片、上传和其他常见目录下web没有对网站或文件夹目录的访问权限的严格控制,可以使用webshell攻击者可以使用。upload通过函数上传脚本文件,然后通过URL访问脚本,脚本将被执行。然后黑客可以webshell上传到网站的任何目录,以获得网站管理员的控制权。
2)客户将获取管理员的后台密码,登录后台系统,并使用后台管理工具WebShell木马被写入配置文件,或黑客被允许上传脚本程序asp和php格式文件。
3)使用数据库备份和恢复功能获取webshell。例如,备份时,将备份文件的后缀改为asp。或者后台有mysql黑客可以执行数据查询功能select输出php文件..in进行outfile查询,然后插入代码mysql,从而导致webshell生成木马。
4)系统的其他站点被攻击或安装在服务器上ftp服务器。ftp服务器被攻击,然后注入webshell然后网站系统也被感染了。
5)黑客直接攻击Web服务器系统,Web服务器在系统层面可能存在漏洞。如果黑客利用漏洞攻击服务器系统,黑客可以上传其权限web在服务器目录中webshell文件。
3.WebShell肆虐的重要原因是什么?
1)WebShell很大程度上是因为可以注射的win2003 IIS6.0的环境,在IIS6.0在环境下,我们上传一个test.asp;。jpg shell文件可以在发现上传时成功上传,因为监控jpg但是iis6.0分析时执行asp动态web所以我们知道webshell木马的共同特征:x.asp;。png,x.php。文本文件(textfile)...
2)WebShell恶意脚本与正常的网络文件混合在一起。同时,黑客控制的服务器和远程主机通过80端口传输数据,不会被防火墙拦截,也不会在系统日志中留下记录。隐蔽性强,一般不易杀死。
4.如何防止系统植入?WebShell?
1)对1)web关闭远程桌面的这些功能,并定期更新服务器补丁和杀毒软件。
2)加强管理员的安全意识,不浏览服务器上不安全的网站,定期更换密码。同时,加强对服务器上ftp安全管理,防止系统被木马感染。
3)加强权限管理,对敏感目录设置权限,限制上传目录的脚本执行权限,不允许执行脚本。建议使用IIS 6.0或上述版本,不要使用默认端口80。
4)程序修复漏洞,程序优化上传x.asp;。png和类似的文件。