阿里云盾提醒网站被WebShell木马后门分析与对策

   收到阿里云用户朋友的反馈,说运行了一年的网站突然遭到黑客的攻击,系统cpu一直保持在100%,有进程也干不掉,然后客户就进行杀毒了,然后就把所有的exe文件都杀了,然后系统也就很多功能不正常了,数据库的服务也干掉了,然后我去看了下,发现网站目录下面被上传了大量的asp、php,htm的页面,里面的目录也有黑客上传了自己的目录,浏览哪些defalut.asp等方面的页面,就是黑客植入的页面,那要是被用户看见了,那真是一炮走红啊,黑客还很牛B的留下了脚印,果断写了自己的大名,在这种情况下,意识到这是中了WebShell木马,我立刻关闭了网站,然后来找解决方案。

 一、什么是WebShell木马?
         WebShell通常是以asp、php、jsp、asa或者cgi等网页文件形式存在的—种命令执行环境,也可以称为—种网页后门。黑客在入侵网站后,通常会将WebShell后门文件与网站服务器WEB目录下正常的网页文件混在—起,然后就可以使用浏览器来访问这些后门,得到命令执行环境,以达到控制网站或者WEB系统服务器的目的。这样就可以上传下载文件、查看数据库、执行任意程序命令等。
二、WebShell是如何入侵系统的?
         1)利用系统前台的上传业务,上传WebShell脚本,上传的目录往往具有可执行的权限。在web中有上传图像、上传资料文件的地方,上传完后通常会向客户端返回上传的文件的完整URL信息,有时候不反馈,我们也可以猜到常见的image、upload等目录下面,如果Web对网站存取权限或者文件夹目录权限控制不严,就可能被利用进行webshell攻击,攻击者可以利用上传功能上传一个脚本文件,然后在通过url访问这个脚本,脚本就被执行。然后就会导致黑客可以上传webshell到网站的任意目录中,从而拿到网站的管理员控制权限。
         2)客户获取管理员的后台密码,登陆到后台系统,利用后台的管理工具向配置文件写入WebShell木马,或者黑客私自添加上传类型,允许脚本程序类似asp、php的格式的文件上传。
         3)利用数据库备份与恢复功能获取webshell。如备份时候把备份文件的后缀改成asp。或者后台有mysql数据查询功能,黑客可以通过执行select..in To outfile 查询输出php文件,然后通过把代码插入到mysql,从而导致生成了webshell的木马。
         4)系统其他站点被攻击,或者服务器上还搭载了ftp服务器,ftp服务器被攻击了,然后被注入了webshell的木马,然后网站系统也被感染了。
         5)黑客直接攻击Web服务器系统,Web服务器在系统层面也可能存在漏洞,如果黑客利用其漏洞攻击了服务器系统,那么黑客获取了其权限,则可以在web服务器目录里上传webshell文件。
三、WebShell能够肆虐的重要原因是什么?
         1)WebShell能够被注入很大程度是由于win2003 IIS6.0的环境下造成的。在IIS6.0环境下,我们上传一个test.asp;.jpg的shell文件,发现在上传的时候,能够成功上传,因为监测为jpg的图片文件,但是在iis6.0解析的时候却当成了asp的动态网页文件被执行。因此我们知道webshell木马常见的特征:x.asp;.png,x.php;.txt...
         2)WebShell的恶意脚本是和正常的网页文件混在一起的,同时被黑客控制的服务器和远处主机都是通过80端口来传递数据的,不会被防火墙拦截,一般也不会在系统日志中留下记录,,具有极强的隐蔽性,一般不容易被查杀。
 四、如何防止系统被植入WebShell?
        1)web服务器方面,开启防火墙,杀毒软件等,关闭远程桌面这些功能,定期更新服务器补丁和杀毒软件。
        2)加强管理员的安全意识,在服务器上不浏览不安全网站,定期修改密码,同时对服务器上的ftp类似的也要加强安全管理,防止被系统的木马感染。
        3)加强权限管理,对敏感目录进行权限设置,限制上传目录的脚本执行权限,不允许执行脚本。建议用IIS6.0以上版本,同时不要用默认80端口。
        4)程序修补漏洞,程序要优化上传x.asp;.png这样类似的文件。

时间: 2024-10-27 07:02:10

阿里云盾提醒网站被WebShell木马后门分析与对策的相关文章

阿里云服务器ECS云盾提醒网站被WebShell木马后门分析与对策

据有关报道指出,某政府网站被黑后,有关安全检测技术人员在经过详细排查后,确认是WebShell木马后门.更值得警惕的是黑客对木马文件的代码进行了加密,由此绕过了Web防火墙和防病毒软件的查杀,并且木马文件建立的时间在架设安全设备之前,甚至有若干木马文件一年前就已经存在. 1.WebShell的概念和危害性 WebShell就是以asP.php.jsp或者cgi等网页文件形式存在的-种命令执行环境,也可以称为-种网页后门.黑客在入侵网站后,通常会将WebShell后门文件与网站服务器WEB目录下正

[网站搭建] 阿里云搭建个人网站及域名绑定

        前一篇"[网站搭建] 阿里云虚拟主机搭建及FTP文件上传"主要讲述了如何通过阿里云虚拟机搭建网站服务器,同时FTP上传文件,登录后进入控制台或管理界面,接下来的主要步骤如下图所示:         1.获取追加信息         2.网站备案         3.上传网站数据库数据         4.网站调试         5.域名解析         6.域名绑定         从域名到网站,只需四步,轻松访问,同时需要注意网站备案. 一. 购买域名    

ubuntu+阿里云搭建django网站,但是部署上去出现错误

问题描述 ubuntu+阿里云搭建django网站,但是部署上去出现错误 阿里云搭建django网站,域名和公网ip都买了并绑定且备案了,网站写好了,但是部署上去出现错误 Not Found The requested URL /educationma/search was not found on this server. Apache/2.4.7 (Ubuntu) Server at Port 80 哪位朋友知道该怎么办嘛?十分感谢 解决方案 在阿里云的控制面板上,申请客服,填写工单和联系电

专访阿里云域名与网站业务总经理宋瑛桥:域名未来将更加个性化、生态化和规范化

杭州·云栖大会将于2016年10月13-16日在云栖小镇举办,在这场标签为互联网.创新.创业的云计算盛宴上,众多行业精英都将在这几天里分享超过450个演讲主题. 为了帮助大家进一步了解这场全球前言技术共振盛会的内容,采访了各个论坛的大咖,以飨读者. 以下为正文: 阿里云域名与网站业务总经理 宋瑛桥,阿里云域名与网站业务总经理,曾是中国最大的域名及虚拟主机服务提供商万网的初创期核心成员,历任网络体系中心总经理.客服及质控总监.产品总监.副总裁等重要职务,在互联网基础服务行业深耕近二十年,其主导和参

阿里云盾证书服务助力博客装逼成功

写在开始 前段时间网站全部静态文件都上了阿里云CDN,session存储和缓存交给了阿里云Redis,从此也走上了高逼格的道路,并成功装逼了一把. 相关文章: 阿里云(企业云解析DNS)让你的博客飞起来 阿里云Redis加速Discuz论坛访问 但是,楼主觉的这还远远不够,在这个信息安全重于泰山的时代.谷歌的搜索和Chrome浏览器,早就 推动往HTTPS协议的过渡,提醒网站明文传输的HTTP"不安全".同样,Facebook.Twitter也陆续加入了阵营.国内的百度也大魄力推进并规

阿里云系列——4.网站备案后续(详细步骤)---2015-11.12

网站部署之~阿里云系列汇总 http://www.cnblogs.com/dunitian/p/4958462.html   初步核审通过后 1.到这个地址选个地区进行进行拍照验证(选择相应地区)[免费拍照] http://beian.gein.cn/order/map.htm?spm=a3c00.7621338.a3c20.4.ryAMV8&baOrderId=23220367424   卧槽啊,办个备案都到处跑啊~~~~~~~~~先闪了,回来再后续......   -------------

阿里云系列——3.网站备案初步核审(详细步骤)---2015-11.12

网站部署之~阿里云系列汇总   http://www.cnblogs.com/dunitian/p/4958462.html 流程图: 1.注册账号 进:https://beian.gein.cn/account/login.htm 注册一个账号,然后会收到邮件 立即备案   如何办理首次备案? 如果您从未办理过备案,即域名没有办理过备案, 并且您的单位/个人证件也没有办理过备案,请办理首次备案. 如何办理接入备案? 如果您原备案不在阿里云,将已有备案号转入阿里云,或在原备案号下增加新网站,请办

如何使用阿里云搭建个人网站

国内比较早的几个个人网站有阮一峰.月光博客等.他们都会定期的更新一些文章,阮一峰的更新频率大概在每月4篇,月光博客每天一篇.他们每天的浏览量在2万以上,每月最低收入都在2万以上.作为一个程序员,我一直想给自己找点事情做.也买过很多书,很多作者都有自己的个人网站,因此我就拿着学习加赚钱的态度在阿里云上创建了一个属于自己的网站:业余草. 目前个人网站已上线快3年了,其中发生了很多大家意想不到的的事情.这些以后再表,今天就教大家如何在阿里云上大家一个个人站点. 域名申请 首次搭建个人小站,建议购买域名

阿里云-怎么样让网站在大陆和香港访问速度都快

问题描述 怎么样让网站在大陆和香港访问速度都快 网站是php开发的,服务器是用阿里云的,在大陆访问速度还可以,在香港访问速度就很慢,怎么解决香港访问速度慢的问题,也不影响大陆的访问速度. CDN可以解决?或者是可以在香港也用一个服务器,但是怎么做到数据同步? 谢谢. 解决方案 cdn就是为了解决不同网络访问瓶颈的问题的,用cdn就行. 香港搞个服务器你还得配置同步,做跳转,判断香港ip就跳转到专门为香港用户配置的域名(同一个域名怎么配置多个A记录,然后类似cdn那种解析没接触不懂怎么配置,一般是