作者:神刀

webshell,不用说了吧!,后门,古今中外破网必上门,大有一口被捅,千站具废之说,吹大了,主题吧.

首先我们以黑暗者说,一旦进入站点,就会留后门,而且目前主流都是asp,php免杀,aspx还比较少,免杀马我就跳过吧.
1.进入站点,查看目录权限,可不可以写入和跨目录
2.查看admin,data,inc,upload等目录内部信息,或者站少人访问的直接站点根目录留.
3.免杀小马一般会在upload上传目录或者图片目录上传,有时候直接就在主页index里面包含跳转上传隐藏代码,大马一般不在根目录,站长得到的地方出现,会利用另名来迷惑站长,比如css.asp,或者inc2.asp,ad1.asp这些放在特定文件夹里,而遇上懒的站长,就会把这个shell帮忙永久保存了,呵呵..用wenshell扫描器一般可以将大部分的webshell扫出来,除非经过特殊免杀代码转换,或者利用iis6.0的解析漏洞,比如123.asp;123.jpg,win2000系统会默认为图片格式,但是默认的win2003iis6不会,直接解析成脚本执行,会导致webshell的出现,在动态单页面里包含一句话提交又或者利用include包含大法执行,也是查不到后门的方法,大伙可以去挖挖.

好了,简单讲到这我们从光明的站长说吧,站点没出现什么访问问题,不代表没问题,oday,代码漏洞,注入,xss,nc上传等分分钟都可以使站点遭人种webshell
1.前面提到基本的方法就是shell扫描器,还有就是利用文件对比和旧的备份资料做对比,如果没有备份也没关系,直接把最新的文件列出来,用dreamwear查看代码,一般大牛用它来挖洞的噢..呵呵.
2.页面注入安全要防注,用户帐号权限要限制,目录脚本执行也要限制,一般上传图片的就禁止执行,其他目录禁止写入,删掉ws组建和cmd,除非是自己维护站点的,否则管理后台全部改名,且进行网段ip限制,自己的固定ip才可以登录后台.
3.网站如果用过编辑器,比如ewebeditor,fck这些的,把无相关的删掉,编辑器登录后台地址删掉,编辑器后台管理员帐户密码复杂化,去除带有可上传asa,asp,asasp,phpaspx,这些后缀,数据库设置为只读.
4.对可疑html清除包含漏洞,上面说过,可以包含上传代码运行呢.就像这样:index?id=nhs8.com,就可以进入上传画面.
5.还是那句话,经常备份,升级网页程序,扫描,查看记录.
这样估计可以屏蔽掉大部分***,除非该webshell深藏到极度难以察觉,点一下思路咯.该文件的名称到最后修改时间,中间还跳转到系统页面里的包含文件的一句话后门,而且该一句话后门也是特殊加密加码的.