webshell是什么？

1、webshell是什么？

　　顧名思義， “web”的含義是顯然需要服務(wù)器開放web服務(wù)， “shell”的含義是取得對(duì)服務(wù)器某種程度上操作權(quán)限。

　　webshell常常被稱為匿名用戶（入侵者）通過網(wǎng)站端口對(duì)網(wǎng)站服務(wù)器的某種程度上操作的權(quán)限。 由于webshell其大多是以動(dòng)態(tài)腳本的形式出現(xiàn)， 也有人稱之為網(wǎng)站的后門工具。

2、webshell有什么作用？

　　一方面， webshell可以被站長(zhǎng)常常用于網(wǎng)站管理、服務(wù)器管理等等。

　　根據(jù)FSO權(quán)限的不同， 作用有在線編輯網(wǎng)頁(yè)腳本、上傳下載文件、查看數(shù)據(jù)庫(kù)、執(zhí)行程序命令（視webshell權(quán)限而定）等。

　　另一方面， 被入侵者利用， 從而達(dá)到控制網(wǎng)站服務(wù)器的目的。 這些網(wǎng)頁(yè)腳本常稱為webshell。

　　腳本木馬， 目前比較流行的asp或php木馬， 也有基于.NET的腳本木馬。

　　對(duì)于后者我本人持反對(duì)態(tài)度，

　　當(dāng)然， 也不排除白帽子黑客對(duì)網(wǎng)站的安全檢測(cè)（即我們說的“紅客”）。

3、webshell的隱蔽性

　　有些惡意網(wǎng)頁(yè)腳本可以嵌套在正常網(wǎng)頁(yè)中運(yùn)行， 且不容易被查殺。

　　webshell可以穿越服務(wù)器防火墻， 由于與被控制的服務(wù)器或遠(yuǎn)程主機(jī)交換的數(shù)據(jù)都是通過80端口傳遞的， 因此不會(huì)被防火墻攔截。

　　并且使用webshell一般不會(huì)在系統(tǒng)安全日志中留下記錄， 只會(huì)在網(wǎng)站的web日志中留下一些數(shù)據(jù)提交記錄， 沒有經(jīng)驗(yàn)的管理員是很難看出入侵痕跡的。

　　雖然很多后門都可以被殺毒軟件等檢查出來， 但是很多入侵者會(huì)把webshell后門代碼加密等處理， 以使webshell免于被查殺， 這稱為免殺技術(shù)， 相應(yīng)的后門被成為免殺后門

4、常見webshell

　　提到webshell， 那就一定要提到“海陽(yáng)頂端網(wǎng)asp后門”這應(yīng)該是asp后門中最有名的了， 后面還有“殺手十三”等功能豐富的后門出現(xiàn)！

　　一句話后門 <%eval request("value")%> 或者 <%execute request("value")%> 或者 <%execute(request("value"))%> 或者他們的加密變形！

　　當(dāng)然webshell還有jsp， php， aspx等多種腳本形式的。

5、如何防范惡意后門？

　　從根本上解決動(dòng)態(tài)網(wǎng)頁(yè)腳本的安全問題， 要做到防注入、防暴庫(kù)、防COOKIES欺騙、防跨站攻擊等等， 務(wù)必配置好服務(wù)器FSO權(quán)限。

　　希望看過本詞條的人， 希望您們能到百度的“webshell”貼吧進(jìn)行討論。

其它

　　webshell是什么？這是很多朋友在疑惑的問題。 什么是webshell？

　　今天我們就講講這個(gè)話題！

　　webshell是web入侵的腳本攻擊工具。 簡(jiǎn)單的說來， webshell就是一個(gè)asp或php木馬后門。

　　黑客在入侵了一個(gè)網(wǎng)站后， 常常在將這些asp或php木馬后門文件放置在網(wǎng)站服務(wù)器的web目錄中， 與正常的網(wǎng)頁(yè)文件混在一起。

　　然后黑客就可以通過web的方式， 通過asp或php木馬后門控制網(wǎng)站服務(wù)器， 包括上傳下載文件、查看數(shù)據(jù)庫(kù)、執(zhí)行程序命令等。

　　為了更好理解webshell我們學(xué)習(xí)兩個(gè)概念：

　　問：什么是“木馬”？

　　答：“木馬”全稱是“特洛伊木馬（Trojan Horse）”。 原指古希臘士兵藏在木馬內(nèi)進(jìn)入敵方城市從而占領(lǐng)敵方城市的故事。

　　在互聯(lián)網(wǎng)上， “特洛伊木馬”指一些程序設(shè)計(jì)人員在其可從網(wǎng)絡(luò)上下載（Download）的應(yīng)用程序或游戲中， 包含了可以控制用戶的計(jì)算機(jī)系統(tǒng)的程序， 可能造成用戶的系統(tǒng)被破壞甚至癱瘓。

　　問：什么是后門？

　　答：大家都知道， 一臺(tái)計(jì)算機(jī)上有65535個(gè)端口， 那么如果把計(jì)算機(jī)看作是一間屋子， 那么這65535個(gè)端口就可以它看做是計(jì)算機(jī)為了與外界連接所開的65535扇門。 每個(gè)門的背后都是一個(gè)服務(wù)。 有的門是主人特地打開迎接客人的（提供服務(wù)）， 有的門是主人為了出去訪問客人而開設(shè)的（訪問遠(yuǎn)程服務(wù)）。

　　理論上， 剩下的其他門都該是關(guān)閉著的， 但偏偏由于各種原因， 很多門都是開啟的。

　　于是就有好事者進(jìn)入， 主人的隱私被刺探， 生活被打擾， 甚至屋里的東西也被搞得一片狼跡。

　　這扇悄然被開啟的門就是“后門”。

推薦：webshell的優(yōu)點(diǎn)

　　webshell 最大的優(yōu)點(diǎn)就是可以穿越防火墻， 由于與被控制的服務(wù)器或遠(yuǎn)程主機(jī)交換的數(shù)據(jù)都是通過80端口傳遞的， 因此不會(huì)被防火墻攔截。

　　并且使用webshell一般不會(huì)在系統(tǒng)日志中留下記錄， 只會(huì)在網(wǎng)站服務(wù)器的日志中留下一些數(shù)據(jù)提交記錄， 沒有經(jīng)驗(yàn)的管理員是很難看出入侵痕跡的。

　　問：什么是網(wǎng)站提權(quán)

　　答：所謂網(wǎng)站提權(quán)， 是入侵者得到webshell以后， 通過webshell得到服務(wù)器的一些信息， 查看并分析其中可能存在的漏洞來提升權(quán)限

　　最終通過3389端口， serv-u或pcAnywhere等終端工具連接到服務(wù)器， 取得網(wǎng)站服務(wù)器最高管理權(quán)限。

　　問：如何尋找webshell？

　　答：關(guān)注您所留意的各種程序的漏洞， 進(jìn)行深入了解， 防范腳本攻擊， 注入工具。