wenshell

什么是wenshell？

顾名思义，“web”的含义是显然需要服务器开放web服务，“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为入侵者通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现，也有人称之为网站的后门工具。

Webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境，也可以将其称做为一种网页后门。黑客在入侵了一个网站后，通常会将asp或php后门文件与网站目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。

利用Webshell可以在Web服务器上执行系统命令、窃取数据、植入病毒、Le索核心数据、SEO挂马等恶意操作，危害极大。

WebShell通常被用于

数据盗窃，

感染网站访问者（水坑攻击），

通过恶意意图修改文件来破坏网站，

发起分布式拒绝服务（DDoS）攻击，

在无法通过Internet访问的网络内部中继命令，

用作命令和控制库，例如用作僵尸网络系统中的僵尸程序或以损害其他外部网络安全性的方式使用。

WebShell 常规处置方法

• 确定入侵时间：文件新建时间或修改时间，确定时间以便依据时间进行溯源分析、追踪攻击者的活动路径。

• Web 日志分析：通过Web日志进行分析，关注入侵前后的日志记录，从而寻找攻击者的攻击路径。

• 漏洞分析：通过日志查找攻击路径，溯源找到网站中存在的漏洞，并进行漏洞分析。

• 漏洞复现：对发现的漏洞进行漏洞复现，从而还原攻击者的活动路径。

• 漏洞修复：清除WebShell并进行漏洞修复，避免再次攻击；定期进行网站的全面安全检查，及时安装相关补丁。