一、如何防止系統(tǒng)被植入WebShell?

1、Web服務器開啟防火墻、殺毒軟件等，關閉遠程桌面功能，定期更新服務器補丁和殺毒軟件。

2、加強管理員的安全意識，不瀏覽服務器上不安全的網(wǎng)站，定期修改密碼。同時對服務器端的ftp也要加強類似的安全管理，防止被系統(tǒng)木馬感染。

3、加強權限管理，對敏感目錄設置權限，對上傳目錄限制腳本執(zhí)行權限，不允許腳本執(zhí)行。建議使用IIS6.0以上版本，不要使用默認的80端口。

4. 修補程序漏洞，優(yōu)化程序上傳x.asp;png等文件。

　　二、WebShell是如何入侵系統(tǒng)的？

1、利用系統(tǒng)前臺的上傳服務上傳WebShell腳本，上傳的目錄往往有可執(zhí)行權限。在網(wǎng)絡上，有上傳圖片和上傳數(shù)據(jù)文件的地方。上傳完成后，通常會將上傳文件的完整URL信息返回給客戶端。有時沒有反饋。我們也可以猜測在常用的image、upload等目錄下。如果Web沒有嚴格控制網(wǎng)站訪問權限或文件夾目錄權限，就有可能被用來進行webshell攻擊。攻擊者可以使用上傳功能上傳一個腳本文件，然后通過url訪問腳本，腳本就會被執(zhí)行。那么就會導致黑客將webshell上傳到網(wǎng)站的任意目錄，從而獲得網(wǎng)站的管理員控制權限。

（推來客網(wǎng)站建設）

2、客戶獲取管理員后臺密碼，登錄后臺系統(tǒng)，利用后臺管理工具在配置文件中寫入WebShell木馬，或者黑客私自添加上傳類型，讓腳本程序上傳格式類似于asp 和php 的文件。

3、使用數(shù)據(jù)庫備份恢復功能獲取webshell。例如備份時將備份文件的后綴改為asp。或者后臺有mysql數(shù)據(jù)查詢功能，黑客可以通過執(zhí)行select.in來查詢輸出php文件到outfile，然后將代碼插入到mysql中，從而產生webshell木馬。

4、系統(tǒng)其他站點被攻擊，或者服務器配置了ftp服務器，ftp服務器被攻擊，然后注入webshell木馬，網(wǎng)站系統(tǒng)也被感染。

5、黑客直接攻擊web服務器系統(tǒng)。 Web 服務器也可能在系統(tǒng)級別存在漏洞。如果黑客利用該漏洞對服務器系統(tǒng)進行攻擊，獲得權限后，黑客可以上傳web服務器目錄下的webshell文件。

　三、什么是WebShell木馬？

WebShell通常以asp、php、jsp、asa、cgi等網(wǎng)頁形式作為命令執(zhí)行環(huán)境存在，也可稱為網(wǎng)頁后門。黑客入侵網(wǎng)站后，通常會將WebShell后門文件與網(wǎng)站服務器WEB目錄下的正常網(wǎng)頁文件混在一起，然后利用瀏覽器訪問這些后門，獲取命令執(zhí)行環(huán)境，從而控制網(wǎng)站或WEB系統(tǒng)服務器的目標。通過這種方式，您可以上傳和下載文件、查看數(shù)據(jù)庫、執(zhí)行任意程序命令等。

　　四、WebShell能夠肆虐的重要原因是什么？

1. win2003 IIS6.0環(huán)境下，WebShell可以被注入的可能性很大。在IIS6.0環(huán)境下，我們上傳了一個test.asp;jpg的shell文件，上傳的時候發(fā)現(xiàn)可以上傳成功，因為圖片文件檢測為jpg，但是在iis6中解析的時候卻認為是asp。 0 執(zhí)行動態(tài)網(wǎng)頁文件。于是我們知道了webshell木馬的共同特征：x.asp;png,x.php;txt.

2、WebShell惡意腳本混入正常網(wǎng)頁文件中。同時，黑客控制的服務器與遠程主機通過80端口傳輸數(shù)據(jù)，不會被防火墻攔截，一般不會記錄在系統(tǒng)日志中。留下記錄極其隱蔽，一般不容易被發(fā)現(xiàn)和殺死。

我們專注高端建站，小程序開發(fā)、軟件系統(tǒng)定制開發(fā)、BUG修復、物聯(lián)網(wǎng)開發(fā)、各類API接口對接開發(fā)等。十余年開發(fā)經驗，每一個項目承諾做到滿意為止，多一次對比，一定讓您多一份收獲！