黑帽SEO當中說的shell是什么？

     今天Highallxy給大家介紹一下黑帽SEO里面的web shell

　  在QQ群，微信群或者是一些網絡上面做SEO的同行都在收購web shell，沒想到這么多人會用shell去做SEO，web shell的質量不同，從而所做出來的效果也是非常不一樣的：

　　通俗的說web shell 就是等于拿到別人網站的操作權限，你有這個網站的shell 就是有網站的操作權限，那么就可以在他網站掛上你們網站的單向鏈接，也可以用他們網站首頁做一些灰色詞，甚至可以在他們網站的新增目錄當中做灰色詞的排名。這也是為什么這么多人會去收web shell的原因，而這里面大多數都是用來做灰色行業的詞，因為這樣效果快，來錢快。（當然這是在違法的邊緣瘋狂試探）

　　Web Shell通常是以asp、php、jsp、asa或者是cgi等網頁文件形式存在的—種命令執行環境，也可以稱作—種網頁后門。黑客在入侵網站后，通常會把WebShell后門文件與網站服務器WEB目錄下正常的網頁文件混在—起，然后就可以使用瀏覽器來訪問這些后門，得到命令執行環境，從而達到控制網站或者WEB系統服務器的目的。這樣就可以上傳下載文件、查看數據庫以及執行任意程序命令等。

　　1)利用系統前臺的上傳業務，上傳WebShell腳本，上傳的目錄往往具備有可執行的權限。在web里面有上傳圖像、上傳資料文件的地方，上傳完后通常會向客戶端返回上傳的文件的完整URL信息，有時候不反饋，我們也可以猜到常見的image、upload等目錄下面，如果Web對網站存取權限或者文件夾目錄權限控制不嚴，就可能被利用進行webshell攻擊，攻擊者可以利用上傳功能上傳一個腳本文件，然后在通過url訪問這個腳本，腳本就被執行。然后就會導致黑客可以上傳webshell到網站的任意目錄中，從而拿到網站的管理員控制權限。

　　2)客戶獲取管理員的后臺密碼，登陸到后臺系統，利用后臺的管理工具向配置文件寫入WebShell木馬，或者黑客私自添加上傳類型，允許腳本程序類似asp、php的格式的文件上傳。

　　3)利用數據庫備份與恢復功能獲取webshell。如備份時候把備份文件的后綴改成asp?；蛘吆笈_有mysql數據查詢功能，黑客可以通過執行select..in To outfile 查詢輸出php文件，然后通過把代碼插入到mysql，從而導致生成了webshell的木馬。

　　4)系統其他站點被攻擊，或者服務器上還搭載了ftp服務器，ftp服務器被攻擊了，然后被注入了webshell的木馬，然后網站系統也被感染了。

　　5)黑客直接攻擊Web服務器系統，Web服務器在系統層面也可能存在漏洞，如果黑客利用其漏洞攻擊了服務器系統，那么黑客獲取了其權限，則可以在web服務器目錄里上傳webshell文件。

　　1)WebShell能夠被注入很大程度是由于win2003 IIS6.0的環境下造成的。在IIS6.0環境下，我們上傳一個test.asp;.jpg的shell文件，發現在上傳的時候，能夠成功上傳，因為監測為jpg的圖片文件，但是在iis6.0解析的時候卻當成了asp的動態網頁文件被執行。因此我們知道webshell木馬常見的特征：x.asp;.png,x.php;.txt...

　　2)WebShell的惡意腳本是和正常的網頁文件混在一起的，同時被黑客控制的服務器和遠處主機都是通過80端口來傳遞數據的，不會被防火墻攔截，一般也不會在系統日志中留下記錄，，具有極強的隱蔽性，一般不容易被查殺。

　　1)web服務器方面，開啟防火墻，殺毒軟件等，關閉遠程桌面這些功能，定期更新服務器補丁和殺毒軟件。

　　2)加強管理員的安全意識，在服務器上不瀏覽不安全網站，定期修改密碼，同時對服務器上的ftp類似的也要加強安全管理，防止被系統的木馬感染。

　　3)加強權限管理，對敏感目錄進行權限設置，限制上傳目錄的腳本執行權限，不允許執行腳本。建議用IIS6.0以上版本，同時不要用默認80端口。

　　4)程序修補漏洞，程序要優化上傳x.asp;.png這樣類似的文件。

    另外因為一些站長使用的是CMS開源的系統，一些老牌的系統如dede是存在著一些漏洞的，而這些漏洞，如不注意將會被有心人拿來利用，所以如大型或者長久運營的網站最好還是開發屬于自己的后臺更合適。