黑帽SEO當(dāng)中說(shuō)的shell是什么？

     今天Highallxy給大家介紹一下黑帽SEO里面的web shell

　  在QQ群，微信群或者是一些網(wǎng)絡(luò)上面做SEO的同行都在收購(gòu)web shell，沒(méi)想到這么多人會(huì)用shell去做SEO，web shell的質(zhì)量不同，從而所做出來(lái)的效果也是非常不一樣的：

　　通俗的說(shuō)web shell 就是等于拿到別人網(wǎng)站的操作權(quán)限，你有這個(gè)網(wǎng)站的shell 就是有網(wǎng)站的操作權(quán)限，那么就可以在他網(wǎng)站掛上你們網(wǎng)站的單向鏈接，也可以用他們網(wǎng)站首頁(yè)做一些灰色詞，甚至可以在他們網(wǎng)站的新增目錄當(dāng)中做灰色詞的排名。這也是為什么這么多人會(huì)去收web shell的原因，而這里面大多數(shù)都是用來(lái)做灰色行業(yè)的詞，因?yàn)檫@樣效果快，來(lái)錢(qián)快。（當(dāng)然這是在違法的邊緣瘋狂試探）

　　Web Shell通常是以asp、php、jsp、asa或者是cgi等網(wǎng)頁(yè)文件形式存在的—種命令執(zhí)行環(huán)境，也可以稱(chēng)作—種網(wǎng)頁(yè)后門(mén)。黑客在入侵網(wǎng)站后，通常會(huì)把WebShell后門(mén)文件與網(wǎng)站服務(wù)器WEB目錄下正常的網(wǎng)頁(yè)文件混在—起，然后就可以使用瀏覽器來(lái)訪問(wèn)這些后門(mén)，得到命令執(zhí)行環(huán)境，從而達(dá)到控制網(wǎng)站或者WEB系統(tǒng)服務(wù)器的目的。這樣就可以上傳下載文件、查看數(shù)據(jù)庫(kù)以及執(zhí)行任意程序命令等。

　　1)利用系統(tǒng)前臺(tái)的上傳業(yè)務(wù)，上傳WebShell腳本，上傳的目錄往往具備有可執(zhí)行的權(quán)限。在web里面有上傳圖像、上傳資料文件的地方，上傳完后通常會(huì)向客戶端返回上傳的文件的完整URL信息，有時(shí)候不反饋，我們也可以猜到常見(jiàn)的image、upload等目錄下面，如果Web對(duì)網(wǎng)站存取權(quán)限或者文件夾目錄權(quán)限控制不嚴(yán)，就可能被利用進(jìn)行webshell攻擊，攻擊者可以利用上傳功能上傳一個(gè)腳本文件，然后在通過(guò)url訪問(wèn)這個(gè)腳本，腳本就被執(zhí)行。然后就會(huì)導(dǎo)致黑客可以上傳webshell到網(wǎng)站的任意目錄中，從而拿到網(wǎng)站的管理員控制權(quán)限。

　　2)客戶獲取管理員的后臺(tái)密碼，登陸到后臺(tái)系統(tǒng)，利用后臺(tái)的管理工具向配置文件寫(xiě)入WebShell木馬，或者黑客私自添加上傳類(lèi)型，允許腳本程序類(lèi)似asp、php的格式的文件上傳。

　　3)利用數(shù)據(jù)庫(kù)備份與恢復(fù)功能獲取webshell。如備份時(shí)候把備份文件的后綴改成asp。或者后臺(tái)有mysql數(shù)據(jù)查詢功能，黑客可以通過(guò)執(zhí)行select..in To outfile 查詢輸出php文件，然后通過(guò)把代碼插入到mysql，從而導(dǎo)致生成了webshell的木馬。

　　4)系統(tǒng)其他站點(diǎn)被攻擊，或者服務(wù)器上還搭載了ftp服務(wù)器，ftp服務(wù)器被攻擊了，然后被注入了webshell的木馬，然后網(wǎng)站系統(tǒng)也被感染了。

　　5)黑客直接攻擊Web服務(wù)器系統(tǒng)，Web服務(wù)器在系統(tǒng)層面也可能存在漏洞，如果黑客利用其漏洞攻擊了服務(wù)器系統(tǒng)，那么黑客獲取了其權(quán)限，則可以在web服務(wù)器目錄里上傳webshell文件。

　　1)WebShell能夠被注入很大程度是由于win2003 IIS6.0的環(huán)境下造成的。在IIS6.0環(huán)境下，我們上傳一個(gè)test.asp;.jpg的shell文件，發(fā)現(xiàn)在上傳的時(shí)候，能夠成功上傳，因?yàn)楸O(jiān)測(cè)為jpg的圖片文件，但是在iis6.0解析的時(shí)候卻當(dāng)成了asp的動(dòng)態(tài)網(wǎng)頁(yè)文件被執(zhí)行。因此我們知道webshell木馬常見(jiàn)的特征：x.asp;.png,x.php;.txt...

　　2)WebShell的惡意腳本是和正常的網(wǎng)頁(yè)文件混在一起的，同時(shí)被黑客控制的服務(wù)器和遠(yuǎn)處主機(jī)都是通過(guò)80端口來(lái)傳遞數(shù)據(jù)的，不會(huì)被防火墻攔截，一般也不會(huì)在系統(tǒng)日志中留下記錄，，具有極強(qiáng)的隱蔽性，一般不容易被查殺。

　　1)web服務(wù)器方面，開(kāi)啟防火墻，殺毒軟件等，關(guān)閉遠(yuǎn)程桌面這些功能，定期更新服務(wù)器補(bǔ)丁和殺毒軟件。

　　2)加強(qiáng)管理員的安全意識(shí)，在服務(wù)器上不瀏覽不安全網(wǎng)站，定期修改密碼，同時(shí)對(duì)服務(wù)器上的ftp類(lèi)似的也要加強(qiáng)安全管理，防止被系統(tǒng)的木馬感染。

　　3)加強(qiáng)權(quán)限管理，對(duì)敏感目錄進(jìn)行權(quán)限設(shè)置，限制上傳目錄的腳本執(zhí)行權(quán)限，不允許執(zhí)行腳本。建議用IIS6.0以上版本，同時(shí)不要用默認(rèn)80端口。

　　4)程序修補(bǔ)漏洞，程序要優(yōu)化上傳x.asp;.png這樣類(lèi)似的文件。

    另外因?yàn)橐恍┱鹃L(zhǎng)使用的是CMS開(kāi)源的系統(tǒng)，一些老牌的系統(tǒng)如dede是存在著一些漏洞的，而這些漏洞，如不注意將會(huì)被有心人拿來(lái)利用，所以如大型或者長(zhǎng)久運(yùn)營(yíng)的網(wǎng)站最好還是開(kāi)發(fā)屬于自己的后臺(tái)更合適。