據有關報道指出，某政府網站被黑后，有關安全檢測技術人員在經過詳細排查后，確認是WebShell木馬后門。更值得警惕的是黑客對木馬文件的代碼進行了加密，由此繞過了Web防火墻和防病毒軟件的查殺，并且木馬文件建立的時間在架設安全設備之前，甚至有若干木馬文件一年前就已經存在。

1.WebShell的概念和危害性

WebShell就是以asP、php、jsp或者cgi等網頁文件形式存在的—種命令執行環境，也可以稱為—種網頁后門。黑客在入侵網站后，通常會將WebShell后門文件與網站服務器WEB目錄下正常的網頁文件混在—起，然后就可以使用瀏覽器來訪問這些后門，得到命令執行環境，以達到控制網站或者WEB系統服務器的目的(可以上傳下載文件、查看數據庫、執行任意程序命令等)。

2. 黑客部署WebShell木馬后門的幾種途徑

.黑客直接上傳WebShell：因過濾上傳文件不嚴，導致黑客可以直接上傳 WebShell到網站任意可寫目錄中，從而拿到網站的管理員控制權限：

.黑客私自添加修改上傳類型：現在很多腳本程序上傳模塊不是只允許上傳合法文件類型，實際上大多數的系統是允許添加上傳類型，由此很容易被黑客利用：

.黑客利用WEB系統后臺管理功能寫入WebShell：黑客進入WEB系統后臺

例如網站后臺后還可以通過修改相關文件來寫入WebShell;

.黑客利用后臺管理工具向配置文件寫入WebShell;

.黑客利用后臺數據庫備份及恢復功能獲得Webshell：主要是利用后臺對

access數據庫的“備份數據庫”或“恢復數據庫”功能,“備份的數據庫路徑”等變量沒有過濾導致可以把任意文件后綴改為asp，從而得到WebShell;

.黑客利用后臺mysql數據查詢功能獲得Wbshell：后臺只要有mysql數據查詢功能，黑客就可以利用它執行SELECT...in TO OUTFILE查詢輸出php文件，因為所有的數據是存放在mysql里的，所以黑客可以通過正常手段把WebsheIl代碼插入mysql在利用SELECT...in TO OUTFILE語句導出shell;

3.Wbshell的隱蔽性

Wbshell有些惡意網頁腳本可以嵌套在正常網頁中運行，因此不容易被查

殺。由于與被黑客控制的唧系統服務器或黑客遠程主機交換的數據都是通過

80端口傳遞的，因此Wbshell不會被防火墻攔截。同時，使用Wbshell一般

不會在系統日志中留下記錄，只會在網站的web日志中留下一些數據提交記錄，很難發現入侵痕跡。

4.如何進行加固和防范

.對ftp進行權限設置，取消匿名訪問。

.對目錄進行權限設置，不同網站使用不同的用戶權限。

.對系統盤的敏感目錄及文件進行權限設置，提高系統安全性。

.定期更新服務器補丁，定期更新殺毒軟件。