二、WebShell是如何入侵系統(tǒng)的？

　?。薄⒗孟到y(tǒng)前臺的上傳業(yè)務(wù)，上傳WebShell腳本，上傳的目錄往往具有可執(zhí)行的權(quán)限。在web中有上傳圖像、上傳資料文件的地方，上傳完后通常會向客戶端返回上傳的文件的完整URL信息，有時候不反饋，我們也可以猜到常見的image、upload等目錄下面，如果Web對網(wǎng)站存取權(quán)限或者文件夾目錄權(quán)限控制不嚴(yán)，就可能被利用進(jìn)行webshell攻擊，攻擊者可以利用上傳功能上傳一個腳本文件，然后在通過url訪問這個腳本，腳本就被執(zhí)行。然后就會導(dǎo)致黑客可以上傳webshell到網(wǎng)站的任意目錄中，從而拿到網(wǎng)站的管理員控制權(quán)限。

（尚品中國網(wǎng)站建設(shè)）

　?。病⒖蛻臬@取管理員的后臺密碼，登陸到后臺系統(tǒng)，利用后臺的管理工具向配置文件寫入WebShell木馬，或者黑客私自添加上傳類型，允許腳本程序類似asp、php的格式的文件上傳。

　?。场⒗脭?shù)據(jù)庫備份與恢復(fù)功能獲取webshell。如備份時候把備份文件的后綴改成asp。或者后臺有mysql數(shù)據(jù)查詢功能，黑客可以通過執(zhí)行select..in To outfile 查詢輸出php文件，然后通過把代碼插入到mysql，從而導(dǎo)致生成了webshell的木馬。

　?。?、系統(tǒng)其他站點(diǎn)被攻擊，或者服務(wù)器上還搭載了ftp服務(wù)器，ftp服務(wù)器被攻擊了，然后被注入了webshell的木馬，然后網(wǎng)站系統(tǒng)也被感染了。

　?。?、黑客直接攻擊Web服務(wù)器系統(tǒng)，Web服務(wù)器在系統(tǒng)層面也可能存在漏洞，如果黑客利用其漏洞攻擊了服務(wù)器系統(tǒng)，那么黑客獲取了其權(quán)限，則可以在web服務(wù)器目錄里上傳webshell文件。

　　四、WebShell能夠肆虐的重要原因是什么？

　　1、WebShell能夠被注入很大程度是由于win2003 IIS6.0的環(huán)境下造成的。在IIS6.0環(huán)境下，我們上傳一個test.asp;.jpg的shell文件，發(fā)現(xiàn)在上傳的時候，能夠成功上傳，因?yàn)楸O(jiān)測為jpg的圖片文件，但是在iis6.0解析的時候卻當(dāng)成了asp的動態(tài)網(wǎng)頁文件被執(zhí)行。因此我們知道webshell木馬常見的特征：x.asp;.png,x.php;.txt...

　　2、WebShell的惡意腳本是和正常的網(wǎng)頁文件混在一起的，同時被黑客控制的服務(wù)器和遠(yuǎn)處主機(jī)都是通過80端口來傳遞數(shù)據(jù)的，不會被防火墻攔截，一般也不會在系統(tǒng)日志中留下記錄，，具有極強(qiáng)的隱蔽性，一般不容易被查殺。