websehll的使⽤和预防措施
mysql下载后如何使用(1).webshell概念
  webshell就是以asp、php、jsp或者cgi等⽹页⽂件形式存在的⼀种命令执⾏环境,也可以将其称做为⼀种⽹页后门。⿊客在⼊侵了⼀个⽹站后,通常会将asp或php后门⽂件与⽹站服务器WEB⽬录下正常的⽹页⽂件混在⼀起,然后就可以使⽤浏览器来访问asp或者php后门,得到⼀个命令执⾏环境,以达到控制⽹站服务器的⽬的。
  顾名思义,“web”的含义是显然需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为⼊侵者通过⽹站端⼝对⽹站服务器的某种程度上操作的权限。由于webshell其⼤多是以动态脚本的形式出现,也有⼈称之为⽹站的后门⼯具。
(2).攻击思路
  想要拿下⼀台服务器的权限,⾸先需要了解该服务器的端⼝、Web版本、操作系统版本,以此寻漏洞;然后通过漏洞添加修改上传Webshell或其他⾮法⽂件(⽊马病毒等),拿到具有⼀定权限的⾝份;最后进⾏提权。
  漏洞公告⽹站:
(3).展⽰webshell能够做到哪些
  注意:不要去下载现成的webshell,很有可能会出现后门⾥插后门的情况。
  搭建LNMP环境:。为了⽅便演⽰这⾥的php使⽤的是php-5.5.38。
  然后将webshell上传⾄服务器
[root@youxi1 ~]# ls /usr/local/nginx/html
50x.html  index.html  index.php  webshell2.php
  然后使⽤浏览器登录,这⾥输⼊的密码是webshell的密码
  然后登录成功后会出现如下界⾯,可以看到⽂件名、权限、所有者,并且提供单独下载、拷贝、编辑、重命名、修改时间,以及打包下载选中的⽂件、删除选中的⽂件、创建⽂件和⽂件夹等。
  如果⿊客拿到了mysql的root密码,还可以管理mysql,上传下载mysql数据,甚⾄执⾏⼀些Mysql命令。
  ⽽且可以查看php的信息,以及执⾏php代码,甚⾄通过该服务器去连接其他服务器。
(4).如何预防webshell
  1、建议⽤户通过ftp来上传、维护⽹页,尽量不安装asp的上传程序。
  2、对asp上传程序的调⽤⼀定要进⾏⾝份认证,并只允许信任的⼈使⽤上传程序。
  3、asp程序管理员的⽤户名和密码要有⼀定复杂性,不能过于简单,还要注意定期更换。
  4、到正规⽹站下载程序,下载后要对数据库名称和存放路径进⾏修改,数据库名称要有⼀定复杂性。
  5、要尽量保持程序是最新版本。
  6、不要在⽹页上加注后台管理程序登陆页⾯的链接。
  7、为防⽌程序有未知漏洞,可以在维护后删除后台管理程序的登陆页⾯,下次维护时再通过上传即
可。
  8、要时常备份数据库等重要⽂件。
  9、⽇常要多维护,并注意空间中是否有来历不明的asp⽂件。
  10、尽量关闭⽹站搜索功能,利⽤外部搜索⼯具,以防爆出数据。
  11、利⽤⽩名单上传⽂件,不在⽩名单内的⼀律禁⽌上传,上传⽬录权限遵循最⼩权限原则。
  从根本上解决动态⽹页脚本的安全问题,要做到防注⼊、防爆库、防COOKIES欺骗、防跨站攻击(xss)等等,务必配置好服务器FSO 权限。最⼩的权限=最⼤的安全。防范webshell的最有效⽅法就是:可写⽬录不给执⾏权限,有执⾏权限的⽬录不给写权限。
(5).检测webshell
(6).扩展:nc命令
  如果原本没有nc命令,被⿊客⼊侵后发现安装了该命令,⼀定需要注意,nc的其中⼀个功能是实现任意TCP/UDP端⼝的侦听,nc可以作为server以TCP或UDP⽅式侦听指定端⼝并接受连接。(-l选项)
  详细可看:
参考:百度百科-webshell