黑客常提到的“webshell”究竟是什么？(3)

一些开源cms或者自制的webshell会有数据库管理功能，在数据库管理功能里面有sql查询功能，先使用create table shell(codetext);创建一个名字叫做shell的表，表里面有列明叫做code，类型为text。然后使用insert into shell(code) values('一句话马')，这里讲shell表中的code列赋值为一句话的马，然后通过自定义备份，将该表备份为x.php;x然后就被解析成为php然后执行了，这里不是x.php;x就一定能够解析为php，不同的web服务器上面的服务程序不同，然后过滤规则也不同，可能会使用其他的方式。

(3)phpMyadmin设置错误

phpMyadmin用来管理网站数据库的一个工具，其中config.inc.php为其配置文件，在查看的该文件的时候，如果$cfg['Servers'][$i]['auth_type']参数的值设置没有设置(默认为config)说明在登陆数据库的时候没有做相应的验证，可以直接连入数据库，而且在Mysql在一些版本下面默认登陆都是以root用户进行登陆(即管理员)，所以登陆进去为最大权限。但是root一般只能本地登陆，所以必须创建一个远程登陆用户。用远程登陆用户登陆之后，创建一个表，然后再将一句话木马写入。

四、webshell的防范措施

了解了webshell的基本原理之后，最关键的防止器植入asp、php、jsp等木马程序文件，使用webshell一般不会在系统日志中 留下记录，只会在网站的web日志中留下一些数据提交记录，没有经验的管理员是很难看出入侵痕迹的。我们一般可以从以下几方面对安全性进行处理：

1. Web软件开发的安全

• 程序中存在文件上载的，攻击者利用漏洞上载木马程序文件。
• 防sql注入、防暴库、防COOKIES欺骗、防跨站脚本攻击。

2. 服务器的安全和web服务器的安全

• 服务器做好各项安全设置，病毒和木马检测软件的安装(注：webshell的木马程序不能被该类软件检测到)，，启动防火墙并关闭不需要的端口和服务。
• 提升web服务器的安全设置
• 对以下命令进行权限控制(以windows为例)：

cmd.exe net.exe net1.exe ping.exe netstat.exe ftp.exe tftp.exe telnet.exe 

3. ftp文件上载安全

设置好ftp服务器，防止攻击者直接使用ftp上传木马程序文件到web程序的目录中

4. 文件系统的存储权限

设置好web程序目录及系统其它目录的权限，相关目录的写权限只赋予给超级用户，部分目录写权限赋予给系统用户。

将web应用和上传的任何文件(包括)分开，保持web应用的纯净，而文件的读取可以采用分静态文件解析服务器和web服务器两种服务器分 别读取(Apache/Nginx加tomcat等web服务器)，或者图片的读取，有程序直接读文件，以流的形式返回到客户端。

5. 不要使用超级用户运行web服务

对于apache、tomcat等web服务器，安装后要以系统用户或指定权限的用户运行，如果系统中被植入了asp、php、等木马程序文件，以超级用户身份运行，webshell提权后获得超级用户的权限进而控制整个和计算机。

6. 利用安全工具进行检测

D盾：

【编辑推荐】

1. 黑客或可将隐形恶意软件植入“裸机”云主机当中
2. 2019年最佳黑客书籍盘点
3. 黑客入侵：移动恶意软件进入杀戮
4. “黑客”深度学习之“免杀技术原理与实现”
5. 2019 HackerOne黑客报告：白帽收入最高竟是普通程序员的40倍

（编辑：ASP站长网）