网页木马攻击与防范.docVIP

网页木马攻击与防范 　　摘要：一句话木马和Webshell是目前黑客入侵网站的常用技术。在介绍一句话木马和WEBSHELL原理和功能的基础上，介绍了一句话木马和WEBSHELL相互配合入侵网站的过程，并提出清除木马的方法和相应的防范措施。 　　关键词：网页木马；一句话木马；Webshell 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）05-0932-03 　　Attack Precaution of Webpage Trojan 　　LUO Ze-lin，CHEN Si-liang， ZHANG Gui-zhou，XIE Qiao ，ZHUANG Xiao-mei 　　（Guangdong Peizheng College， Guangzhou 510830，China） 　　Abstract： One-word Trojan and Webshell are the most common technology used by hacker to attack Website currently. After introduce the principle and function about One-word Trojan and Webshell， the attack process of website used by One-word Trojan and Webshell is described， and the corresponding removing method and precaution are given. 　　Key words： Webpage Trojan；one-word Trojan；wehshell 　??1 概述 　　随着大数据时代的步伐渐渐来临，用户数据安全问题成为了网络安全人员和黑客们关注热点。360网站安全监测通过对大量网站页面源码的分析发现，黑客用“一句话木马”踩点的行为随处可见，一旦黑客确认网站可攻击，则通过植入后门等方式，查看和窃取服务器中的重要文件，危害网站安全。360网站安全监测数据显示，2012年存在“一句话木马”的网站共12866个，其中政府类785个、教育类663个，合计比例超过10%，其余89%存在“一句话木马”的网站涉及电商、社交、视频等各行各业，其威胁十分广泛[1]。其实黑客使用一句话木马只是入侵的前奏，而在入侵的网站上传网页木马，进而控制服务器才是黑客的目标。 　　2 网页木马概述 　　这里所说的网页木马是指WEB脚本形式的木马，而不是传统意义上exe形式的木马，也不是指嵌入网页中的木马，因为嵌入式木马最终还是下载和调用传统的木马[2]。由于EXE形式的文件受到WEB服务器的限制，这种形式的木马在WEB服务器上几乎已经“英雄无用武之地”。而网页木马比传统的木马更轻便、更灵活，而且隐蔽性好，更具有危害性，是目前黑客入侵WEB服务器最常用的技术之一。通常这类木马也称为Webshell，而一句话木马是一种特殊的Webshell。 　　2.1 什么是Webshell 　　木马程序本来是存在于应用软件层面的一个分类，它特指那些用来远程控制、监视用户计算机，盗取用户信息资料的程序。Web应用程序同样能够实现木马程序的功能，这就是Webshell。Webshell利用Web开发语言的特殊功能，只需要将系统命令输入到表单中，提交后，Webshell就可以执行命令并返回执行结果，相当于通过Web程序制作出了一个系统的Shell，并且它还是可以远程访问的[3]。 　　Webshell起初是一种网站管理工具，是为方便管理网站和服务器开发的，常见有基于asp、php、.net、jsp的Webshell。受FSO权限的限制，它具有编辑、上传、下载、查看数据库、执行命令等功能。有脚本编程基础的入侵者通过修改相应功能达到控制服务器的目的。这种Webshell又称“大马”[4]。 　　2.2 Webshell的上传 　　由于Webshell功能比较复杂，因此体积一般比较大，而且很多管理员都限制了上传文件的大小，在入侵初期显得不够灵活，所以需要“小马”作铺垫。一句话木马就是“小马”的一种。通过一句话木马上传Webshell是比较常见的方式，但是也可以通过低版本fckedit编辑器上传漏洞上传。有些网站的后台限制ASP文件等网页文件的上传，但允许JPG等图片文件的上传，这也为Webshell的上传提供了可用之机，甚至有些黑客能够利用抓包和修改数据包的工具，再通过重传数据包来实现Webshell的上传。Wehshell上传成功后，所能执行的功能是有限制的，所以黑客要想办法提权。 　　2.3 什么是一句话木马