websehll的使用和预防措施

(1).webshell概念

　　webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。黑客在入侵了一个网站后，通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。

　　顾名思义，“web”的含义是显然需要服务器开放web服务，“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为入侵者通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现，也有人称之为网站的后门工具。

(2).攻击思路

　　想要拿下一台服务器的权限，首先需要了解该服务器的端口、Web版本、操作系统版本，以此寻找漏洞；然后通过漏洞添加修改上传Webshell或其他非法文件（木马病毒等），拿到具有一定权限的身份；最后进行提权。

　　漏洞公告网站：

　　　　国家信息安全漏洞共享平台https://www.cnvd.org.cn/

　　　　绿盟http://www.nsfocus.net/index.php?act=sec_bug

(3).展示webshell能够做到哪些

　　注意：不要去下载现成的webshell，很有可能会出现后门里插后门的情况。

　　搭建LNMP环境：源码安装LNMP。为了方便演示这里的php使用的是php-5.5.38。

　　然后将webshell上传至服务器

[root@youxi1 ~]# ls /usr/local/nginx/html
50x.html  index.html  index.php  webshell2.php

　　然后使用浏览器登录，这里输入的密码是webshell的密码

　　然后登录成功后会出现如下界面，可以看到文件名、权限、所有者，并且提供单独下载、拷贝、编辑、重命名、修改时间，以及打包下载选中的文件、删除选中的文件、创建文件和文件夹等。

　　如果黑客拿到了mysql的root密码，还可以管理mysql，上传下载mysql数据，甚至执行一些Mysql命令。

　　而且可以查看php的信息，以及执行php代码，甚至通过该服务器去连接其他服务器。

(4).如何预防webshell

　　1、建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。

　　2、对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。

　　3、asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

　　4、到正规网站下载程序，下载后要对数据库名称和存放路径进行修改，数据库名称要有一定复杂性。

　　5、要尽量保持程序是最新版本。

　　6、不要在网页上加注后台管理程序登陆页面的链接。

　　7、为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过上传即可。

　　8、要时常备份数据库等重要文件。

　　9、日常要多维护，并注意空间中是否有来历不明的asp文件。

　　10、尽量关闭网站搜索功能，利用外部搜索工具，以防爆出数据。

　　11、利用白名单上传文件，不在白名单内的一律禁止上传，上传目录权限遵循最小权限原则。

　　从根本上解决动态网页脚本的安全问题，要做到防注入、防爆库、防COOKIES欺骗、防跨站攻击（xss）等等，务必配置好服务器FSO权限。最小的权限=最大的安全。防范webshell的最有效方法就是：可写目录不给执行权限，有执行权限的目录不给写权限。

(5).检测webshell

　　希望不会用到，详见：https://www.freebuf.com/articles/web/183520.html

(6).扩展：nc命令

　　如果原本没有nc命令，被黑客入侵后发现安装了该命令，一定需要注意，nc的其中一个功能是实现任意TCP/UDP端口的侦听，nc可以作为server以TCP或UDP方式侦听指定端口并接受连接。（-l选项）

　　详细可看：nc命令用法举例

参考：百度百科-webshell

　　　https://www.mozhedun.com/news/industry-news/57746.html

　　　https://www.cnblogs.com/l1pe1/p/9213060.html

　　　https://www.freebuf.com/articles/web/186298.html