安信华攻防专家谈WebShell的防护

某省政府电子政务网案例：

一天上午，某省政府工作人员打来电话，“省政府的电子政务网被黑了”。安信华攻防人员接到通知后迅速查找问题原因，首先在用户Web防火墙最近一个星期的攻击日志里，并没发现明显的如SQL 注入，密码暴力破解，危险的文件上传的攻击现象。

是不是服务器已经被黑客留下了后门？带着这个疑问，攻防小组人员用WebShell监测工具SpyBackDoorScanner 对服务器网站所在的磁盘进行了全面扫描，扫描中发现了好几个可疑文件，再经手工排查，确认是 WebShell 木马后门。更为严重的是黑客对木马文件的代码进行了加密处理，绕过了 Web 防火墙和杀毒软件的查杀，并且木马文件建立的时间在架设安全设备之前，甚至，有几个木马文件一年前就存在了。

最后，攻防小组人员在清理了木马后门后，为了防止其他原因，又对网站进行了一个月的跟踪监控，再未发现网站再被挂广告暗链的情况。

WebShell的危害

WebShell就是以asp、 php 、 jsp 或者 cgi 等网页文件形式存在的种命令执行环境，也可以称为种网页后门。黑客在入侵了网站后，通常会将这些 asp 、 php 、 aspx 、 jsp 后门文件与网站服务器 WEB 目录下正常的网页文件混在起，然后就可以使用浏览器来访问这些后门，得到命令执行环境，以达到控制网站服务器的目的（可以上传下载文件、查看数据库、执行任意程序命令等）。

后台得到WebShell的常见方法

直接上传获得WebShell：因过滤上传文件不严，导致用户可以直接上传WebShell 到网站任意可写目录中，从而拿到网站的管理员控制权限；

添加修改上传类型：现在很多脚本程序上传模块不是只允许上传合法文件类型，大多数的系统是允许添加上传类型；

利用后台管理功能写入WebShell：进入后台后还可以通过修改相关文件来写入WebShell ；

利用后台管理向配置文件写WebShell；

利用后台数据库备份及恢复获得WebShell：主要是利用后台对access 数据库的“备份数据库”或“恢复数据库”功能，“备份的数据库路径”等变量没有过滤导致可以把任意文件后缀改为 asp ，从而得到 WebShell ；

后台需要有mysql数据查询功能, 我们就可以利用它执行 SELECT ... in TO OUTFILE 查询输出 php 文件，因为所有的数据是存放在 mysql 里的，所以我们可以通过正常手段把我们的 WebShell 代码插入 mysql 在利用 SELECT ... in TO OUTFILE 语句导出 shell ；

WebShell的隐蔽性

有些恶意网页脚本可以嵌套在正常网页中运行，且不容易被查杀。WebShell可以穿越服务器防火墙，由于与被控制的服务器或远程主机交换的数据都是通过80 端口传递的，因此不会被防火墙拦截。并且使用 WebShell 一般不会在系统日志中留下记录，只会在网站的 web 日志中留下一些数据提交记录，没有经验的管理员是很难看出入侵痕迹。

安信华WebShell威胁防护解决方案

北京安信华科技有限公司（AnchivaSystems Ltd., ）是一家在网络及内容安全领域拥有自主创新产品的高新技术企业，公司汇集了大批网络安全领域的优秀人才，创办人和高管曾经在思科、 Netscreen 、天融信、网御星云等国内外著名安全设备厂商中担任重要职务。公司致力于为各类型客户提供更清洁的 Internet 内容。总部现设在北京，互联网安全实验室位于杭州，并在广州、上海、杭州、南京、郑州设有办事处，产品及服务遍及国内外多个区域。 安信华互联网安全实验室，由经验丰富的病毒分析师和威胁研究员组成，他们战略性的分布在中国、北美和欧洲，负责监测、采集与研究互联网中传播的恶意代码，构建覆盖全球的云安全服务平台。实验室提供7X24小时 Malware 特征库、恶意站点库、 URL 分类库、 Web 威胁特征库、僵尸网络数据库、应用协议特征库不间断升级服务，并且支持启发式扫描技术和“零日保护”计划，确保用户网络随时处在最新安全技术的保护下。

人工加固

对ftp进行权限设置，取消匿名访问。

对目录进行权限设置，不同网站使用不同的用户权限。

对系统盘的敏感目录及文件进行权限设置，提高系统安全性。

定期更新服务器补丁，定期更新杀毒软件。

部署安信华Web防火墙

由于人工加固繁琐和可能存在的疏忽，我们建议在Web服务器前面部署Web 防火墙设备，能够防御 4000 多种 WebShell 是安信华 Web 防火墙的一大特色。

可针对WebShell上传，进行控制、过滤与阻断；

实时阻断入侵者利用SQL注入、XSS 攻击、缓冲区溢出攻击等获得 web 站点的目录修改权限；

支持对WebShell访问返回页面进行内容检测，切断入侵者企图调用访问WebShell 的行为；

支持实时检测过滤WebShell发起的各种攻击命令，阻断利用WebShell 发起的挂马、文件下载、端口扫描、内容篡改等各种攻击和非法操作；

图：安信华Web防火墙设备拦截的 webshell 上传日志

利用WebShell监测工具定期全盘扫描

WebShell监测工具是由安信华互联网安全实验室攻防专员BYAY 暗影提供

本软件由北京安信华科技有限公司免费提供；

绿色版本，无需安装。操作简单，不需要.net组件或者其他组件；

支持检测系统畸形文件夹，比如文件夹名为test..\ 、 p ；

支持检测aux、lpt8 、 con 等等系统设备文件名的文件；

同时支持32位和64 位操作系统；扫描速度快；

32位软件下载地址：

64位软件下载地址：

或访问Anchiva官网地址：

图：安信华WebShell监测工具SpyBackDoorScanner

Google Chrome

谷歌浏览器下载

Google Chrome下载