近年来，Web应用程序是攻击者利用安全漏洞进行攻击的最常见目标之一。在成功渗透进Web站点后，攻击者会使用Webshell维持对目标长久的访问权限。尽管Webshell在实践中普遍存在，并且严重涉及Web安全问题，但它从未成为任何研究的直接主题。相反，Webshell经常被视为需要检测和删除的恶意”软件”，而不是需要分析和详细了解的恶意代码，久而久之给企业等网站带来巨大的危害。

　　01. Webshell简介

　　Webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。黑客在入侵了一个网站后，通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。

　　恶意软件发布者、黑客和钓鱼诈骗犯现在都喜欢把Webshell隐藏在虚假HTTP错误页面中。这些页面常常伪装为错误页面，比如404未找到页面或者403禁止页面，然而它们实际上是Webshell登录表单页，攻击者能够获得Webshell并且在服务器上执行系统命令。

　　02. Webshell分类

　　Webshell根据脚本可以分为PHP脚本木马，ASP脚本木马，也有基于.NET的脚本木马和JSP脚本木马。在国外，还有用python脚本语言写的动态网页，当然也有与之相关的Webshell。 Webshell根据功能也分为大马、小马和一句话木马。

　　例如：<%eval request(“pass”)%>通常把这句话写入一个文档里面，然后文件名改成xx.asp。然后传到服务器上面。用eval方法将request(“pass”)转换成代码执行，request函数的作用是应用外部文件。这相当于一句话木马的客户端配置。大马的工作模式简单的多，他没有客户端与服务端的区别，就是一些脚本大牛直接把一句话木马的服务端整合到了一起，通过上传漏洞将大马上传，然后复制该大马的url地址直接访问，在页面上执行对web服务器的渗透工作。但是有些网站对上传文件做了严格的限制，因为大马的功能较多，所以体积相对较大，很有可能超出了网站上传限制，但是小马的体积可以控制（比如把代码复制很多遍，或者在一个乱码文件中夹入代码），但是小马操作起来比较繁琐，可以先上传小马拿到Webshell，然后通过小马的连接上传大马拿到服务器。

　　03. Webshell的特点

　　1、Webshell大多是以动态脚本形式的出现，也可以称为网站的后门工具；

　　2、Webshell就是一个asp或者php木马后门；

　　3、Webshell可以穿越服务器防火墙，由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的，因此不会被防火墙拦截；

　　4、Webshell一般不会在系统日志中留下记录，只会在网站的web日志中留下一些数据提交记录，没有经验的管理员很难看出入侵痕迹；

　　5、黑客将这些asp或者PHP木马后门文件放置在网站服务器的web目录中，与正常的网页文件混在一起。黑客可以用web的方式，通过asp或者php木马后门控制的网站服务器，包括上传下载文件，查看数据库、执行任意程序命令等。

　　04. 如何防范系统被植入Webshell

　　1、web服务器方面，开启防火墙，杀毒软件等，关闭远程桌面这些功能，定期更新服务器补丁和杀毒软件。

　　2、加强管理员的安全意识，在服务器上不浏览不安全网站，定期修改密码，同时对服务器上的ftp类似的也要加强安全管理，防止被系统的木马感染。

　　3、加强权限管理，对敏感目录进行权限设置，限制上传目录的脚本执行权限，不允许执行脚本。建议用IIS6.0以上版本，同时不要用默认80端口。

　　4、程序修补漏洞，程序要优化上传x.asp;.png这样类似的文件。