网络攻防之webshell攻击有什么危害，该如何去防护

一.WebShell攻击的原理

WebShell是黑客经常使用的一种恶意脚本，原理就是利用Web服务器自身的环境运行的恶意代码。从名字来看Web指的是网页服务，Shell指的是计算机程序运行的指令命令。这也揭示了WebShell的攻击方法，就是通过WebShell脚本的上传，利用网页服务程序实现操控服务器的一种方式。以PHP语言为例，只需要编写一个简单的PHP代码文件，上传到网站目录中，就可以对网站服务器进行操控，包括读取数据库、删除文件、修改主页等都可以做到。这么一个简单的语句就可以为黑客入侵打开一扇大门，让黑客可以随意地执行任意代码。

二.WebShell攻击的危害

拿到WebShell权限后，如果磁盘做了安全设置以及站点独立权限设置，则这个WebShell可能只能对当前站点有效，无法操作其他网站的程序。如果入侵者通过执行命令，提升网站的权限后，就可以发展到入侵服务器，进而创建管理用户，达到控制整台服务器的目的。也就是说WebShell最基础的危害就是能被黑客随意的修改、删除和上传网页文件。近些年来，随着网络部门的不懈打击，众多非法的网络和网站逐渐在国内没有了立足之地，这样一来就有很多不法分子利用WebShell攻击CMS服务器，利用其服务器和网络资源，放置非法宣传页面，从而实现为其它境外的网络赌博、网络诈骗、淫秽色情网站提供导流宣传的功能。很多的企业和网络管理直到警方调查时，才知道自己的服务器成为了犯罪分子的帮凶。

WebShell更深层次的危害就是控制整台服务器，不法分子可以利用相关服务器进行“挖矿”，控制服务器成为网络攻击的跳板，盗取用户信息，破坏程序数据和网络等。

三.Webshell攻击的特点有哪些

1.持续远程访问
入侵者可以利用webshell从而达到长期控制网站服务器的目的。若攻击者自行修复了漏洞，以确保没有其他人会利用该漏洞，攻击者可以低调的随时控制服务器。一些流行的webshell使用密码验证和其他技术来确保只有上传webshell的攻击者才能访问它。

2.权限提升
在服务器没有配置错误的情况下，webshell将在web服务器的用户权限下运行，该用户权限是有限的。通过使用webshell，攻击者可以尝试通过利用系统上的本地漏洞来执行权限提升，常见的有查找敏感配置文件、通过内核漏洞提权、利用低权限用户目录下可被Root权限用户调用的脚本提权、任务计划等。

3.极强的隐蔽性
有些恶意网页脚本可以嵌套在正常网页中运行，且不容易被查杀。webshell还可以穿越服务器防火墙，由于与被控制的服务器或远程主机交互的数据都是通过80端口传递，因此不会被防火墙拦截，在没有记录流量的情况下，webshell使用post包发送，也不会被记录在系统日志中，只会在web日志中记录一些数据提交的记录。

四.网站如何防御webshell攻击

从根本上解决动态网页脚本的安全问题，要做到防注入、防暴库、防COOKIES欺骗、防跨站攻击等等，务必配置好服务器FSO权限。
1.建议用户通过ftp来上传、维护网页，尽量不安装上传程序。
2.对上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。
3.程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。
4.到正规网站下载程序，要对数据库名称和存放路径进行修改，数据库名称要有一定复杂性。
5.尽量保持程序是最新版本。
6.不要在网页上加注后台管理程序登陆页面的链接。
7.为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再上传。
8.时常备份数据库等重要文件。
9、日常多维护，并注意空间中是否有来历不明的asp文件。
10.尽量关闭网站搜索功能，利用外部搜索工具，以防爆出数据。
11.利用白名单上传文件，不在白名单内的一律禁止上传，上传目录权限遵循最小权限原则。

五.使用安全加速SCDN

安全加速（Secure Content Delivery Network，SCDN）是德迅云安全推出的集分布式DDoS防护、CC防护、WAF防护、BOT行为分析为一体的安全加速解决方案。已使用内容分发网络（CDN）或全站加速网络（ECDN）的用户，购买服务后可为加速域名一键开启安全防护相关配置，全方位保障业务内容分发。

1.Web攻击防护

OWASP TOP 10威胁防护

有效防御 SQL注入、XSS攻击、命令/代码执行、文件包含、木马上传、路径穿越、恶意扫描等OWASP TOP 10攻击。专业的攻防团队7*24小时跟进0day漏洞，分析漏洞原理，并制定安全防护策略，及时进行防护。

AI检测和行为分析

通过对德迅云积累海量日志进行学习和训练输出多种Web安全防护模型，对用户多请求的多元因子进行智能分析，有效提高检出率，降低误报率；通过信息孤岛、行为检测分析，识别恶意攻击源，保护网站安全。

智能语义解析引擎

提供智能语义解析功能，在漏洞防御的基础上，增强SQL注入和XSS攻击检测能力。

2.应用层DDoS防护

CC、HTTP Flood攻击防御

威胁情报库：通过大数据分析平台，实时汇总分析攻击日志，提取攻击特征并进行威胁等级评估，形成威胁情报库。

个性化策略配置：如请求没有命中威胁情报库中的高风险特征，则通过IP黑白名单、访问频率控制等防御攻击。

日志自学习：实时动态学习网站访问特征，建立网站的正常访问基线。

人机校验：当请求与网站正常访问基线不一致时，启动人机校验(如JS验证、META验证等)方式进行验证，拦截攻击。

慢连接攻击防御

对Slow Headers攻击，通过检测请求头超时时间、最大包数量阈值进行防护。
对Slow Post攻击，通过检测请求小包数量阈值进行防护。

3.合规性保障

自定义防护规则

用户可以对HTTP协议字段进行组合，制定访问控制规则，支持地域、请求头、请求内容设置过滤条件，支持正则语法。

访问日志审计

记录所有用户访问日志，对访问源进行TOP N，提供趋势分析，可以根据需要提供日志下载功能。

网页防篡改

采用强制静态缓存锁定和更新机制，对网站特定页面进行保护，即使源站相关网页被篡改，依然能够返回给用户缓存页面。

数据防泄漏

对response报文进行处理，对响应内容和响应进行识别和过滤，根据需要设置数据防泄漏规则，保护网站数据安全。

4.HTTP流量管理

支持HTTP流量管理

可以设置源IP或者特点接口访问速率，对超过速率的访问进行排队处理，减缓服务器压力。

请求头管理

可以根据业务需要对请求头和响应头进行处理，可进行请求头替换或者敏感信息隐藏设置。

5.安全可视化

四大安全分析报表

默认提供Web安全攻击报表、CC攻击防护报表、用户访问统计报表和自定义规则命中报表，满足业务汇报和趋势分析需求。

全量日志处理

提供全量日志查询和下载功能，可以通过OpenAPI接口获取实时日志或离线日志信息。

实时数据统计

提供基于均值和峰值带宽统计信息，提供攻击带宽和正常占比，随时关注业务状况。提供多种组件，了解业务监控和核心指标变化情况。

六.德迅云安全的漏洞扫描应用场景

1.Web漏洞扫描

网站的漏洞与弱点易于被黑客利用，形成攻击，带来不良影响，造成经济损失。

常规漏洞扫描：丰富的漏洞规则库，可针对各种类型的网站进行全面深入的漏洞扫描，提供专业全面的扫描报告。

最紧急漏洞扫描：针对最紧急爆发的VCE漏洞，安全专家第一时间分析漏洞、更新规则、提供最快速专业的VCE漏洞扫描。

2.弱密码扫描

主机或中间件等资产一般使用密码进行远程登录，攻击者往往使用扫描技术来探测其用户名和弱口令。

多场景可用：全方位的OS连接，涵盖90%的中间件，支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测。

丰富的弱密码库：丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测，同时支持自定义字典进行密码检测。

3.弱密码扫描

主机或中间件等资产一般使用密码进行远程登录，攻击者往往使用扫描技术来探测其用户名和弱口令。

多场景可用：全方位的OS连接，涵盖90%的中间件，支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测。

丰富的弱密码库：丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测，同时支持自定义字典进行密码检测。

4.内容合规检测

当网站被发现有不合规言论时，会给企业造成品牌和经济上的多重损失。

精准识别：同步更新时政热点和舆情事件的样本数据，准确定位各种涉黄、涉暴涉恐、涉政等敏感内容。

智能高效：对文本、图片内容进行上下文语义分析，智能识别复杂变种文本。