1. 網站後台和webshell有何區別
網站後台一般是管理網站的基本配置信息,產品和新聞產品的錄入,編輯的。
Webshell是web入侵的腳本攻擊工具,簡單的說來,webshell就是一個asp或php木馬後門。
2. webshell是什麼意思,有什麼作用
webshell是web入侵的腳本攻擊工具。簡單的說來,webshell就是一個asp或php木馬後門,黑客在入侵了一個網站後,常常在將這些asp或php木馬後門文件放置在網站伺服器的web目錄中,與正常的網頁文件混在一起。然後黑客就可以用web的方式,通過asp或php木馬後門控制網站伺服器,包括上傳下載文件、查看資料庫、執行任意程序命令等。
為了更好理解webshell我們學習兩個概念:
什麼是「木馬」?「木馬」全稱是「特洛伊木馬(Trojan Horse)」,原指古希臘士兵藏在木馬內進入敵方城市從而佔領敵方城市的故事。在Internet上,「特洛伊木馬」指一些程序設計人員在其可從網路上下載(Download)的應用程序或游戲中,包含了可以控制用戶的計算機系統的程序,可能造成用戶的系統被破壞甚至癱瘓。
什麼是後門?大家都知道,一台計算機上有65535個埠,那麼如果把計算機看作是一間屋子,那麼這65535個埠就可以它看做是計算機為了與外界連接所開的65535扇門。每個門的背後都是一個服務。有的門是主人特地打開迎接客人的(提供服務),有的門是主人為了出去訪問客人而開設的(訪問遠程服務)——理論上,剩下的其他門都該是關閉著的,但偏偏由於各種原因,很多門都是開啟的。於是就有好事者進入,主人的隱私被刺探,生活被打擾,甚至屋裡的東西也被搞得一片狼跡。這扇悄然被開啟的門——就是「後門」。
webshell的優點
webshell 最大的優點就是可以穿越防火牆,由於與被控制的伺服器或遠程主機交換的數據都是通過80埠傳遞的,因此不會被防火牆攔截。並且使用webshell一般不會在系統日誌中留下記錄,只會在網站的web日誌中留下一些數據提交記錄,沒有經驗的管理員是很難看出入侵痕跡的。
如何尋找webshel:
1,腳本攻擊sql注入
2,使用注入工具
3,在瀏覽器里打開網路,輸入搜索關鍵詞"在本頁操作不需要FSO支持&"或者"一次只能執行一個操作",然後點擊搜索,很快就可以看到檢索到了大量的查詢結果
3. 如何給webshell添加後門!求具體常式!麻煩各位了!
這個例子還真不好說,關鍵是留後門的前提是你已經入侵進去了或者本身代碼就是你提供的。如果是這樣那方法有一下可用:
放置一個muma程序在一個比較深的目錄,當然muma有你想實現的功能;
放置一個腳本在一個比較深的目錄,其實和1一樣,只不過腳本的話更不容易被發現,腳本內容你隨便寫啦,比如打開某個埠啊,外傳某個文件啊,最後別忘了加開機啟動;
最後一點嘛,如果你有操作代碼的許可權,那麼,留個sql-injec入口,當然啦,找個比較隱秘的頁面留,這樣不容易被發現。
4. 網站被攻擊,並且上傳了webshell,怎麼找到這個後門
按更改日期查就可以了
5. 老師讓我們做java web項目,給了一些要求,第四步的後門部分怎麼做啊,我知道是在servers
你找到tomact的安裝目錄,就跟你安裝QQ一樣,總有個安裝目錄吧。 裡面有個config目錄,再裡面就有sever.xml
6. 如何查找Linux伺服器上的webShell後門
1、檢查系統密碼文件
首先從明顯的入手,查看一下passwd文件,ls –l /etc/passwd查看文件修改的日期。
awk –F: 『length($2)==0 {print $1}』 /etc/shadow
2、查看一下進程,看看有沒有奇怪的進程
重點查看進程:ps –aef | grep inetd
inetd是UNIX系統的守護進程,正常的inetd的pid都比較靠前,如果你看到輸出了一個類似inetd –s /tmp/.xxx之類的進程,著重看inetd –s後面的內容。在正常情況下,LINUX系統中的inetd服務後面是沒有-s參數的,當然也沒有用inetd去啟動某個文件;而solaris系統中也僅僅是inetd –s,同樣沒有用inetd去啟動某個特定的文件;如果你使用ps命令看到inetd啟動了某個文件,而你自己又沒有用inetd啟動這個文件,那就說明已經有人入侵了你的系統,並且以root許可權起了一個簡單的後門。
輸入ps –aef 查看輸出信息,尤其注意有沒有以./xxx開頭的進程。一旦發現異樣的進程,經檢查為入侵者留下的後門程序,立即運行kill –9 pid 開殺死該進程,然後再運行ps –aef查看該進程是否被殺死;一旦此類進程出現殺死以後又重新啟動的現象,則證明系統被人放置了自動啟動程序的腳本。這個時候要進行仔細查找:find / -name 程序名 –print,假設系統真的被入侵者放置了後門,根據找到的程序所在的目錄,會找到很多有趣的東東,
接下來根據找到入侵者在伺服器上的文件目錄,一步一步進行追蹤。
3、檢查系統守護進程
檢查/etc/inetd.conf文件,輸入:cat /etc/inetd.conf | grep –v 「^#」,輸出的信息就是你這台機器所開啟的遠程服務。
一般入侵者可以通過直接替換in.xxx程序來創建一個後門,比如用/bin/sh 替換掉in.telnetd,然後重新啟動inetd服務,那麼telnet到伺服器上的所有用戶將不用輸入用戶名和密碼而直接獲得一個rootshell。
4、檢查網路連接和監聽埠
輸入netstat -an,列出本機所有的連接和監聽的埠,查看有沒有非法連接。
輸入netstat –rn,查看本機的路由、網關設置是否正確。
輸入 ifconfig –a,查看網卡設置。
5、檢查系統日誌
命令last | more查看在正常情況下登錄到本機的所有用戶的歷史記錄。但last命令依賴於syslog進程,這已經成為入侵者攻擊的重要目標。入侵者通常會停止系統的syslog,查看系統syslog進程的情況,判斷syslog上次啟動的時間是否正常,因為syslog是以root身份執行的,如果發現syslog被非法動過,那說明有重大的入侵事件。
在linux下輸入ls –al /var/log
檢查wtmp utmp,包括messgae等文件的完整性和修改時間是否正常,這也是手工擦除入侵痕跡的一種方法。
6、檢查系統中的core文件
通過發送畸形請求來攻擊伺服器的某一服務來入侵系統是一種常規的入侵方法,典型的RPC攻擊就是通過這種方式。這種方式有一定的成功率,也就是說它並不能100%保證成功入侵系統,而且通常會在伺服器相應目錄下產生core文件,全局查找系統中的core文件,輸入find / -name core –exec ls –l {} \; 依據core所在的目錄、查詢core文件來判斷是否有入侵行為。
7、檢查系統文件完整性
檢查文件的完整性有多種方法,通常我們通過輸入ls –l 文件名來查詢和比較文件,這種方法雖然簡單,但還是有一定的實用性。但是如果ls文件都已經被替換了就比較麻煩。在LINUX下可以用rpm –V `rpm –qf 文件名` 來查詢,查詢的結果是否正常來判斷文件是否完整。
7. WebSheIl是什麼
概述
顧名思義,「web」的含義是顯然需要伺服器開放web服務,「shell」的含義是取得對伺服器某種程度上操作許可權。webshell常常被稱為匿名用戶(入侵者)通過網站埠對網站伺服器的某種程度上操作的許可權。由於webshell其大多是以動態腳本的形式出現,也有人稱之為網站的後門工具。
[編輯本段]產品及服務
一方面,webshell可以被站長常常用於網站管理、伺服器管理等等。
根據FSO許可權的不同,作用有在線編輯網頁腳本、上傳下載文件、查看資料庫、執行程序命令(視webshell許可權而定)等。
另一方面,被入侵者利用,從而達到控制網站伺服器的目的。這些網頁腳本常稱為webshell。
腳本木馬,目前比較流行的asp或php木馬,也有基於.NET的腳本木馬。
當然,也不排除白帽子黑客對網站的安全檢測(即我們說的「紅客」)。
[編輯本段]優點
webshell 最大的優點就是可以穿越防火牆,由於與被控制的伺服器或遠程主機交換的數據都是通過80埠傳遞的,因此不會被防火牆攔截。
並且使用webshell一般不會在系統日誌中留下記錄,只會在網站伺服器的日誌中留下一些數據提交記錄,沒有經驗的管理員是很難看出入侵痕跡的。
webshell的隱蔽性
有些惡意網頁腳本可以嵌套在正常網頁中運行,且不容易被查殺。
webshell可以穿越伺服器防火牆,由於與被控制的伺服器或遠程主機交換的數據都是通過80埠傳遞的,因此不會被防火牆攔截。
並且使用webshell一般不會在系統安全日誌中留下記錄,只會在網站的web日誌中留下一些數據提交記錄,沒有經驗的管理員是很難看出入侵痕跡的。
雖然很多後門都可以被殺毒軟體等檢查出來,但是很多入侵者會把webshell後門代碼加密等處理,以使webshell免於被查殺,這稱為免殺技術,相應的後門被成為免殺後門
常見webshell
提到webshell,那就一定要提到「海陽頂端網asp後門」這應該是asp後門中最有名的了,後面還有「殺手十三」等功能豐富的後門出現!
一句話後門 <%eval request("value")%> 或者 <%execute request("value")%> 或者 <%execute(request("value"))%> 或者他們的加密變形!
當然webshell還有jsp,php,aspx等多種腳本形式的。
[編輯本段]常見問題
如何防範惡意後門?
從根本上解決動態網頁腳本的安全問題,要做到防注入、防暴庫、防COOKIES欺騙、防跨站攻擊等等,務必配置好伺服器FSO許可權。
希望看過本詞條的人,希望您們能到網路的「webshell」貼吧進行討論。
webshell是什麼?
webshell是web入侵的腳本攻擊工具。簡單的說來,webshell就是一個asp或php木馬後門。
黑客在入侵了一個網站後,常常在將這些asp或php木馬後門文件放置在網站伺服器的web目錄中,與正常的網頁文件混在一起。
然後黑客就可以通過web的方式,通過asp或php木馬後門控制網站伺服器,包括上傳下載文件、查看資料庫、執行程序命令等。
為了更好理解webshell我們學習兩個概念:
問:什麼是「木馬」?
答:「木馬」全稱是「特洛伊木馬(Trojan Horse)」。原指古希臘士兵藏在木馬內進入敵方城市從而佔領敵方城市的故事。
在互聯網上,「特洛伊木馬」指一些程序設計人員在其可從網路上下載(Download)的應用程序或游戲中,包含了可以控制用戶的計算機系統的程序,可能造成用戶的系統被破壞甚至癱瘓。
問:什麼是後門?
答:大家都知道,一台計算機上有65535個埠,那麼如果把計算機看作是一間屋子,那麼這65535個埠就可以它看做是計算機為了與外界連接所開的65535扇門。每個門的背後都是一個服務。有的門是主人特地打開迎接客人的(提供服務),有的門是主人為了出去訪問客人而開設的(訪問遠程服務)。
理論上,剩下的其他門都該是關閉著的,但偏偏由於各種原因,很多門都是開啟的。
於是就有好事者進入,主人的隱私被刺探,生活被打擾,甚至屋裡的東西也被搞得一片狼跡。
這扇悄然被開啟的門就是「後門」。
問:什麼是網站提權
答:所謂網站提權,是入侵者得到webshell以後,通過webshell得到伺服器的一些信息,查看並分析其中可能存在的漏洞來提升許可權
最終通過3389埠,serv-u或pcAnywhere等終端工具連接到伺服器,取得網站伺服器最高管理許可權。
問:如何尋找webshell?
答:關注您所留意的各種程序的漏洞,進行深入了解,防範腳本攻擊,注入工具。
8. 木馬,後門webshell
木馬------針對用戶一般是家庭用戶,就是遠程式控制制的木馬,小黑可以用木馬的服務端連接客服端,就可以控制中了木馬的電腦。
後門-----=一般針對的用戶是伺服器,就是網站安在上面的機器。就是小黑入侵了某台伺服器後,為了方便自己下次控制這台電腦,留下的只有自己才知道的「簡便入侵這台電腦的方法」。一般有隱藏賬戶,shift後門等。
webshell-----一般是網站的許可權。「拿到了某網站的webshell」就是可以隨意修改這家網站的內容啦,但這台電腦的許可權還是沒拿到。它不是攻擊工具,是一個可以修改網站內容的腳本。
菜鳥的理解,大蝦繼續。
9. 網站後門-發現後門(Webshell)文件css/mysql.php直接刪掉嗎
刪,既然你都知道是後門了難道你還要留著!如果不放心,可先改文件名接著全注釋代碼,看看網站是否有異常,無異常直接刪。(數據文件,本地備份,先)
10. 阿里雲被提示網站後門-發現後門(Webshell)文件
阿里雲的ecs伺服器雲盾安全提示發現webshell後門文件,是因為網站有漏洞導致被黑客上傳了了腳本後門也就是webshell後門,如果對程序代碼熟悉的話可以自行修復,網站漏洞的修補與木馬後門的清除,需要很多專業的知識,也不僅僅是知識,還需要大量的經驗積累,所以從做網站到維護網站,維護伺服器,盡可能找專業的網站安全公司來解決問題,國內也就Sinesafe和綠盟、啟明星辰等安全公司比較專業.