webshell上传方式
上传方式:
1.利用数据库进行上传(into out file写入,修改secure_file_priv参数,支持web目录文件导出、数据库用户File权限、获取物理路径;书写方式secure_file_priv="C:/phpStudy/PHPTutorial/WWW";表示写入开关打开,且写入到指定的路径下。当 secure_file_priv变量取值为空字符串,未指定任何特定路径时,意味着开关开启,文件读写不受路径限制,可在任意合法目录执行相关文件操作 。而当 secure_file_priv被设成NULL,代表开关关闭,MySQL 会禁用文件导入与导出功能,禁止执行像 “LOAD DATA”“SELECT...INTO OUTFILE” 这类文件交互指令 。
2.generallog日志写入(通过修改日志开关即可上传webshell)
3.配合其他漏洞,如cms后台校验不严格,文件解析漏洞等,可以通过恢复备份方式上传WebShell
4.利用已知漏洞
查杀方式
1.工具查杀
Windows:火绒、D盾(http://www.d99net.net)
Linux:WebShellKiller、PHP Malware Finder
2.手动查杀
1.找到后门病毒,直接进行删除
2.网站自身配置文件中被写入病毒,找出木马代码,对其进行删除,注意备份。
病毒查杀流程
1.查看系统是否有可疑进程令
2.查看启动项,判断危害,判断操作,盘点流程
3.删除病毒
4.恢复数据
防御方式
1.针对网页程序的上传功能进行严格限制,遵循最小权限原则。对上传用户身份,上传内容进行确认。禁止脚本类文件的上传,上传目录权限做出严格限制等。
2.及时更新程序。
3.定期更新用户名密码,保证密码复杂度,减少弱口令带来的危害。
4.日常检测注意是否有多出的文件。
5.到正规网站下载程序,避免下载有后门程序。
6.对数据库名,网页目录,账号密码等提高复杂度,避免相关路径爆破。