WebShell木马后门分析与对策

2013 年 7 月 8 日3780

据有关报道指出,某政府网站被黑后,有关安全检测技术人员在经过详细排查后,确认是WebShell木马后门。更值得警惕的是黑客对木马文件的代码进行了加密,由此绕过了Web防火墙和防病毒软件的查杀,并且木马文件建立的时间在架设安全设备之前,甚至有若干木马文件一年前就已经存在。

1.WebShell的概念和危害性

WebShell就是以asP、php、jsp或者cgi等网页文件形式存在的—种命令执行环境,也可以称为—种网页后门。黑客在入侵网站后,通常会将WebShell后门文件与网站服务器WEB目录下正常的网页文件混在—起,然后就可以使用浏览器来访问这些后门,得到命令执行环境,以达到控制网站或者WEB系统服务器的目的(可以上传下载文件、查看数据库、执行任意程序命令等)。

2. 黑客部署WebShell木马后门的几种途径

.黑客直接上传WebShell:因过滤上传文件不严,导致黑客可以直接上传 WebShell到网站任意可写目录中,从而拿到网站的管理员控制权限:

.黑客私自添加修改上传类型:现在很多脚本程序上传模块不是只允许上传合法文件类型,实际上大多数的系统是允许添加上传类型,由此很容易被黑客利用:

.黑客利用WEB系统后台管理功能写入WebShell:黑客进入WEB系统后台

例如网站后台后还可以通过修改相关文件来写入WebShell;

.黑客利用后台管理工具向配置文件写入WebShell;

.黑客利用后台数据库备份及恢复功能获得Webshell:主要是利用后台对

access数据库的“备份数据库”或“恢复数据库”功能,“备份的数据库路径”等变量没有过滤导致可以把任意文件后缀改为asp,从而得到WebShell;

.黑客利用后台mysql数据查询功能获得Wbshell:后台只要有mysql数据查询功能,黑客就可以利用它执行SELECT...in TO OUTFILE查询输出php文件,因为所有的数据是存放在mysql里的,所以黑客可以通过正常手段把WebsheIl代码插入mysql在利用SELECT...in TO OUTFILE语句导出shell;

3.Wbshell的隐蔽性

Wbshell有些恶意网页脚本可以嵌套在正常网页中运行,因此不容易被查

杀。由于与被黑客控制的唧系统服务器或黑客远程主机交换的数据都是通过

80端口传递的,因此Wbshell不会被防火墙拦截。同时,使用Wbshell一般

不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,很难发现入侵痕迹。

4.如何进行加固和防范

.对ftp进行权限设置,取消匿名访问。

.对目录进行权限设置,不同网站使用不同的用户权限。

.对系统盘的敏感目录及文件进行权限设置,提高系统安全性。

.定期更新服务器补丁,定期更新杀毒软件。

【编辑推荐】

【责任编辑:蓝雨泪 TEL:(010)68476606】

原文:WebShell木马后门分析与对策 返回网络安全首页

0 0