网站被黑中毒WebShell木马怎么办(正规黑客私人接单)

　　收到客户反馈，说运行了一年的网站突然被黑客攻击，系统cpu一直保持在100%，连进程都干不了。然后客户杀毒然后杀了所有的exe文件，然后系统很多功能都不正常了，数据库的服务也被杀了。然后我去看了一下，发现网站目录下上传了大量的asp，php，htm页面。还有上传自己目录的目录里有黑客，defalut.asp等方面的哪些页面是黑客植入的页面。如果被用户看到，真的是一炮而红。黑客依然牛逼，留下脚印，果断写下自己的名字。在这种情况下，意识到这是一个WebShell木马，我立即关闭了网站，然后来寻找解决办法。

　　1.什么是WebShell木马?

　　WebShell通常是asp、php、jsp、asa或cgi形式的命令执行环境，也可以称为web后门。黑客入侵网站后，通常会将WebShell后门文件与网站服务器的web目录中的正常网页文件混合在一起，然后你就可以使用浏览器访问这些后门，获取命令执行环境，从而控制网站或WEB系统服务器。这样就可以上传下载文件，查看数据库，执行任意程序命令等。

　　2.WebShell是如何入侵系统的?

　　1)利用系统前台的上传服务上传WebShell脚本，上传的目录往往具有可执行权限。如果Web中有上传的图像和数据文件，上传文件的完整url信息通常会在上传后返回给客户端。有时候，在没有反馈的情况下，我们也可以猜测，在图片、上传等常用目录下，如果web没有严格控制网站或文件夹目录的访问权限，就有可能被用于webshell攻击。攻击者可以利用upload函数上传一个脚本文件，然后通过URL访问脚本，脚本就会被执行。然后黑客就可以将webshell上传到网站的任意目录，从而获得网站的管理员控制权。

　　2)客户获取管理员后台密码，登录后台系统，使用后台管理工具将WebShell木马写入配置文件，或者黑客私自添加上传类型，允许脚本程序上传asp和php格式的文件。

　　3)使用数据库备份和恢复功能获取webshell。比如备份的时候，把备份文件的后缀改成asp。或者后台有mysql数据查询功能，黑客可以通过执行select输出php文件..in进行outfile查询，然后将代码插入mysql，从而导致webshell木马的生成。

　　4)系统其他站点被攻击，或者服务器上安装了ftp服务器。ftp服务器被攻击，然后被注入webshell的木马，然后网站系统也被感染。

　　5)黑客直接攻击Web服务器系统，Web服务器在系统层面可能存在漏洞。如果黑客利用其漏洞攻击服务器系统，那么黑客获得其权限，可以上传web服务器目录中的webshell文件。

　　3.WebShell能肆虐的重要原因是什么?

　　1)WebShell可以注入很大程度上是因为win2003 IIS6.0的环境，在IIS6.0环境下，我们上传一个test.asp;。jpg shell文件，发现上传的时候可以成功上传，因为监控到的是jpg镜像文件，但是iis6.0解析的时候执行的是asp动态web文件。所以我们知道了webshell木马的共同特征:x.asp;。png，x.php。文本文件(textfile)...

　　2)WebShell的恶意脚本与正常网页文件混杂在一起。同时黑客控制的服务器和远程主机都是通过80端口传输数据，不会被防火墙拦截，一般也不会在系统日志中留下记录。隐蔽性强，一般不容易被击毙。

　　4.如何防止系统被植入WebShell?

　　1)对于1)web服务器，打开防火墙、防病毒软件等。，关闭远程桌面的这些功能，并定期更新服务器补丁和杀毒软件。

　　2)加强管理员的安全意识，不浏览服务器上不安全的网站，定期更换密码。同时，加强对服务器上ftp的安全管理，防止系统被木马感染。

　　3)加强权限管理，对敏感目录设置权限，限制上传目录的脚本执行权限，不允许执行脚本。建议使用IIS 6.0或以上版本，不要使用默认端口80。

　　4)程序修复漏洞，程序要优化上传到x.asp;。png和类似的文件。