首頁>城市生活 >
【全球新要聞】webshell(什么是webshell,遇到webshell文件怎么辦?) 2023-01-28 07:40:32  來源:熱點網(wǎng)

前段時間,有一個用戶問小編什么是webshell,懸鏡服務(wù)器衛(wèi)士是針對webshel文件內(nèi)容進行掃描的,還是針對文件夾進行掃描的?今天小編就給大家簡單的介紹下。

先來普及下什么是webshell?

webshell是web入侵的腳本攻擊工具。

簡單的說來,webshell就是一個asp或php木馬后門,黑客在入侵了一個網(wǎng)站后,常常在將這些 asp或php木馬后門文件放置在網(wǎng)站服務(wù)器的web目錄中,與正常的網(wǎng)頁文件混在一起。


(資料圖)

是什么?

然后黑客就可以用web的方式,通過asp或php木馬后門控制網(wǎng)站服務(wù)器,包括上傳下載文件、查看數(shù)據(jù)庫、執(zhí)行任意程序命令等。

為了更好理解webshell我們來了解兩個概念:

什么是“木馬”?

“木馬”全稱是“特洛伊木馬(Trojan

Horse)”,原指古希臘士兵藏在木馬內(nèi)進入敵方城市從而占領(lǐng)敵方城市的故事。

在Internet上,“特洛伊木馬”指一些程序設(shè)計人員在其可從網(wǎng)絡(luò)上下載 (Download)的應(yīng)用程序或游戲中,包含了可以控制用戶的計算機系統(tǒng)的程序,可能造成用戶的系統(tǒng)被破壞甚至癱瘓。

什么是后門?

大家都知道,一臺計算機上有65535個端口,那么如果把計算機看作是一間屋子,那么這65535個端口就可以它看做是計算機為了與外界連接所開的65535 扇門。每個門的背后都是一個服務(wù)。

有的門是主人特地打開迎接客人的(提供服務(wù)),有的門是主人為了出去訪問客人而開設(shè)的(訪問遠程服務(wù))——理論上,剩下的其他門都該是關(guān)閉著的,但偏偏由于各種原因,很多門都是開啟的。

于是就有好事者進入,主人的隱私被刺探,生活被打擾,甚至屋里的東西也被搞得一片狼跡。這扇悄然被開啟的門——就是“后門”。

webshell的優(yōu)點

webshell 最大的優(yōu)點就是可以穿越防火墻,由于與被控制的服務(wù)器或遠程主機交換的數(shù)據(jù)都是通過80端口傳遞的,因此不會被防火墻攔截。

優(yōu)點

并且使用webshell一般不會在系統(tǒng)日志中留下記錄,只會在網(wǎng)站的web日志中留下一些數(shù)據(jù)提交記錄,沒有經(jīng)驗的管理員是很難看出入侵痕跡的。

如何尋找webshel:

如何做

1,腳本攻擊SQL注入

2,使用注入工具

3、使用Linux安全防護軟件:懸鏡服務(wù)器衛(wèi)士是針對Linux服務(wù)器進行安全防護軟件,作為一名安全運維人員,懸鏡服務(wù)器衛(wèi)士是一款必備的安全運維軟件。

木馬查殺功能主要是對網(wǎng)站W(wǎng)ebShell的檢測與隔離,WebShell檢測主要快速掃描,同時還有恢復(fù)區(qū)與信任區(qū)。

快速掃描是對系統(tǒng)中的Web文件進行檢測掃描,快速掃描的路徑是由Linux系統(tǒng)中Web服務(wù)器配置的網(wǎng)站路徑?jīng)Q定的;自定義掃描的含義是用戶可以自主選擇哪些文件及目錄要被檢測。

恢復(fù)區(qū)主要是為了防止您的誤操作,例如:您可能會將一些重要文件當做是威脅文件而誤清理掉,從而影響到系統(tǒng)的正常使用,所以在您點擊了清理操作后,系統(tǒng)并未將威脅文件直接刪除,而是將其放入恢復(fù)區(qū)中,您可以將因為誤操作而清理掉的文件從恢復(fù)區(qū)中“找回”,并且被清理到恢復(fù)區(qū)的文件已經(jīng)不能對系統(tǒng)產(chǎn)生威脅;

信任區(qū)是用戶添加的可以信任的文件區(qū)域,當系統(tǒng)進行WebShell掃描之后,會存在一部分可疑文件,這些文件中可能存在一些敏感威脅信息,所以會被認定為威脅文件,但是您可以肯定這一類文件對系統(tǒng)并沒有任何威脅,對于這類文件您可以將其添加到信任區(qū),并且信任區(qū)內(nèi)的文件再次掃描時不會被掃描到。

用戶可以根據(jù)不同的選擇進行有針對的操作。

掃描結(jié)束后界面中會顯示掃描的結(jié)果:WebShell的個數(shù)、可疑文件個數(shù)以及威脅文件等,可以查看威脅文件的詳細信息以及建議的處理方式,也可以點擊一鍵修復(fù)。

下面將通過圖文結(jié)合的方式來詳細演示W(wǎng)ebshell的具體操作。

點擊導(dǎo)航條的“木馬查殺”,界面如下

木馬查殺界面

2.點擊“快速掃描”,進入到快速掃描界面,會出現(xiàn)下圖掃描狀態(tài):

快速掃描過程界面

3.掃描結(jié)束,如果掃描出可疑文件或者WebShell文件,會出現(xiàn)如下圖界面:

快速掃描結(jié)果界面

4.對掃描結(jié)果進行處理后,系統(tǒng)會將掃描的結(jié)果直觀地反映出來,掃描的方式、掃描用時、掃描結(jié)果,處理后的安全文件分布用柱狀圖顯示出安全文件分布。

快速掃描處理后結(jié)果界面

5.點擊自定義掃描之后,會出現(xiàn)選擇目錄,用戶可根據(jù)需要選擇掃描的文件

自定義掃描界面

6.點擊選擇按鈕,系統(tǒng)進入自定義掃描界面,對選擇過的目錄進行檢測:

自定義掃描進行界面

7.掃描結(jié)束后,顯示掃描結(jié)果界面,會列出可疑文件,您也可以查看詳細信息,系統(tǒng)會給您一定的操作建議,供您選擇,具體信息如下圖:

自定義掃描結(jié)果界面

8.對于WebShell中的“恢復(fù)區(qū)”、“信任區(qū)”,“恢復(fù)區(qū)”中的文件是這樣一類文件:上一步掃描出的威脅文件,可能是WebShell文件或者可疑文件,對掃描結(jié)果進行一鍵修復(fù)或者清理操作后,這些威脅文件會被放入恢復(fù)區(qū)中。

恢復(fù)區(qū)設(shè)計的主要的目的是為了避免您之前的誤操作,如果您不小心清理了重要的文件,可以在這里進行恢復(fù),點擊“恢復(fù)區(qū)”會出現(xiàn)以下界面:

恢復(fù)區(qū)界面

在界面中會出現(xiàn)以往處理過的文件名、清理時間、操作,可以選擇文件進行恢復(fù)。

9.“信任區(qū)”:信任區(qū)界面如下, 被添加到信任區(qū)中的文件不會再被當成威脅文件掃描,并且您也可以選擇取消信任。

信任區(qū)界面

懸鏡服務(wù)器免費體驗地址:http://www.xmirror.cn/

關(guān)鍵詞: 詳細信息 安全防護 特洛伊木馬

相關(guān)閱讀:
熱點
圖片 圖片