首頁(yè)>城市生活 >
【全球新要聞】webshell(什么是webshell,遇到webshell文件怎么辦?) 2023-01-28 07:40:32  來源:熱點(diǎn)網(wǎng)

前段時(shí)間,有一個(gè)用戶問小編什么是webshell,懸鏡服務(wù)器衛(wèi)士是針對(duì)webshel文件內(nèi)容進(jìn)行掃描的,還是針對(duì)文件夾進(jìn)行掃描的?今天小編就給大家簡(jiǎn)單的介紹下。

先來普及下什么是webshell?

webshell是web入侵的腳本攻擊工具。

簡(jiǎn)單的說來,webshell就是一個(gè)asp或php木馬后門,黑客在入侵了一個(gè)網(wǎng)站后,常常在將這些 asp或php木馬后門文件放置在網(wǎng)站服務(wù)器的web目錄中,與正常的網(wǎng)頁(yè)文件混在一起。


(資料圖)

是什么?

然后黑客就可以用web的方式,通過asp或php木馬后門控制網(wǎng)站服務(wù)器,包括上傳下載文件、查看數(shù)據(jù)庫(kù)、執(zhí)行任意程序命令等。

為了更好理解webshell我們來了解兩個(gè)概念:

什么是“木馬”?

“木馬”全稱是“特洛伊木馬(Trojan

Horse)”,原指古希臘士兵藏在木馬內(nèi)進(jìn)入敵方城市從而占領(lǐng)敵方城市的故事。

在Internet上,“特洛伊木馬”指一些程序設(shè)計(jì)人員在其可從網(wǎng)絡(luò)上下載 (Download)的應(yīng)用程序或游戲中,包含了可以控制用戶的計(jì)算機(jī)系統(tǒng)的程序,可能造成用戶的系統(tǒng)被破壞甚至癱瘓。

什么是后門?

大家都知道,一臺(tái)計(jì)算機(jī)上有65535個(gè)端口,那么如果把計(jì)算機(jī)看作是一間屋子,那么這65535個(gè)端口就可以它看做是計(jì)算機(jī)為了與外界連接所開的65535 扇門。每個(gè)門的背后都是一個(gè)服務(wù)。

有的門是主人特地打開迎接客人的(提供服務(wù)),有的門是主人為了出去訪問客人而開設(shè)的(訪問遠(yuǎn)程服務(wù))——理論上,剩下的其他門都該是關(guān)閉著的,但偏偏由于各種原因,很多門都是開啟的。

于是就有好事者進(jìn)入,主人的隱私被刺探,生活被打擾,甚至屋里的東西也被搞得一片狼跡。這扇悄然被開啟的門——就是“后門”。

webshell的優(yōu)點(diǎn)

webshell 最大的優(yōu)點(diǎn)就是可以穿越防火墻,由于與被控制的服務(wù)器或遠(yuǎn)程主機(jī)交換的數(shù)據(jù)都是通過80端口傳遞的,因此不會(huì)被防火墻攔截。

優(yōu)點(diǎn)

并且使用webshell一般不會(huì)在系統(tǒng)日志中留下記錄,只會(huì)在網(wǎng)站的web日志中留下一些數(shù)據(jù)提交記錄,沒有經(jīng)驗(yàn)的管理員是很難看出入侵痕跡的。

如何尋找webshel:

如何做

1,腳本攻擊SQL注入

2,使用注入工具

3、使用Linux安全防護(hù)軟件:懸鏡服務(wù)器衛(wèi)士是針對(duì)Linux服務(wù)器進(jìn)行安全防護(hù)軟件,作為一名安全運(yùn)維人員,懸鏡服務(wù)器衛(wèi)士是一款必備的安全運(yùn)維軟件。

木馬查殺功能主要是對(duì)網(wǎng)站W(wǎng)ebShell的檢測(cè)與隔離,WebShell檢測(cè)主要快速掃描,同時(shí)還有恢復(fù)區(qū)與信任區(qū)。

快速掃描是對(duì)系統(tǒng)中的Web文件進(jìn)行檢測(cè)掃描,快速掃描的路徑是由Linux系統(tǒng)中Web服務(wù)器配置的網(wǎng)站路徑?jīng)Q定的;自定義掃描的含義是用戶可以自主選擇哪些文件及目錄要被檢測(cè)。

恢復(fù)區(qū)主要是為了防止您的誤操作,例如:您可能會(huì)將一些重要文件當(dāng)做是威脅文件而誤清理掉,從而影響到系統(tǒng)的正常使用,所以在您點(diǎn)擊了清理操作后,系統(tǒng)并未將威脅文件直接刪除,而是將其放入恢復(fù)區(qū)中,您可以將因?yàn)檎`操作而清理掉的文件從恢復(fù)區(qū)中“找回”,并且被清理到恢復(fù)區(qū)的文件已經(jīng)不能對(duì)系統(tǒng)產(chǎn)生威脅;

信任區(qū)是用戶添加的可以信任的文件區(qū)域,當(dāng)系統(tǒng)進(jìn)行WebShell掃描之后,會(huì)存在一部分可疑文件,這些文件中可能存在一些敏感威脅信息,所以會(huì)被認(rèn)定為威脅文件,但是您可以肯定這一類文件對(duì)系統(tǒng)并沒有任何威脅,對(duì)于這類文件您可以將其添加到信任區(qū),并且信任區(qū)內(nèi)的文件再次掃描時(shí)不會(huì)被掃描到。

用戶可以根據(jù)不同的選擇進(jìn)行有針對(duì)的操作。

掃描結(jié)束后界面中會(huì)顯示掃描的結(jié)果:WebShell的個(gè)數(shù)、可疑文件個(gè)數(shù)以及威脅文件等,可以查看威脅文件的詳細(xì)信息以及建議的處理方式,也可以點(diǎn)擊一鍵修復(fù)。

下面將通過圖文結(jié)合的方式來詳細(xì)演示W(wǎng)ebshell的具體操作。

點(diǎn)擊導(dǎo)航條的“木馬查殺”,界面如下

木馬查殺界面

2.點(diǎn)擊“快速掃描”,進(jìn)入到快速掃描界面,會(huì)出現(xiàn)下圖掃描狀態(tài):

快速掃描過程界面

3.掃描結(jié)束,如果掃描出可疑文件或者WebShell文件,會(huì)出現(xiàn)如下圖界面:

快速掃描結(jié)果界面

4.對(duì)掃描結(jié)果進(jìn)行處理后,系統(tǒng)會(huì)將掃描的結(jié)果直觀地反映出來,掃描的方式、掃描用時(shí)、掃描結(jié)果,處理后的安全文件分布用柱狀圖顯示出安全文件分布。

快速掃描處理后結(jié)果界面

5.點(diǎn)擊自定義掃描之后,會(huì)出現(xiàn)選擇目錄,用戶可根據(jù)需要選擇掃描的文件

自定義掃描界面

6.點(diǎn)擊選擇按鈕,系統(tǒng)進(jìn)入自定義掃描界面,對(duì)選擇過的目錄進(jìn)行檢測(cè):

自定義掃描進(jìn)行界面

7.掃描結(jié)束后,顯示掃描結(jié)果界面,會(huì)列出可疑文件,您也可以查看詳細(xì)信息,系統(tǒng)會(huì)給您一定的操作建議,供您選擇,具體信息如下圖:

自定義掃描結(jié)果界面

8.對(duì)于WebShell中的“恢復(fù)區(qū)”、“信任區(qū)”,“恢復(fù)區(qū)”中的文件是這樣一類文件:上一步掃描出的威脅文件,可能是WebShell文件或者可疑文件,對(duì)掃描結(jié)果進(jìn)行一鍵修復(fù)或者清理操作后,這些威脅文件會(huì)被放入恢復(fù)區(qū)中。

恢復(fù)區(qū)設(shè)計(jì)的主要的目的是為了避免您之前的誤操作,如果您不小心清理了重要的文件,可以在這里進(jìn)行恢復(fù),點(diǎn)擊“恢復(fù)區(qū)”會(huì)出現(xiàn)以下界面:

恢復(fù)區(qū)界面

在界面中會(huì)出現(xiàn)以往處理過的文件名、清理時(shí)間、操作,可以選擇文件進(jìn)行恢復(fù)。

9.“信任區(qū)”:信任區(qū)界面如下, 被添加到信任區(qū)中的文件不會(huì)再被當(dāng)成威脅文件掃描,并且您也可以選擇取消信任。

信任區(qū)界面

懸鏡服務(wù)器免費(fèi)體驗(yàn)地址:http://www.xmirror.cn/

關(guān)鍵詞: 詳細(xì)信息 安全防護(hù) 特洛伊木馬

相關(guān)閱讀:
熱點(diǎn)
圖片 圖片