WebShell就是以ASP、PHP、JSP或者CGI等网页文件形式存在的一种命令执行环境,也可以将其称为一种网页后门。黑客在入侵了一个网站后,通常会将ASP或PHP后门文件与网站服务器Web目录下正常的网页文件混在一起,然后就可以使用浏览器来访问ASP或者PHP后门,得到一个命令执行环境,从而达到控制网站服务器的目的。
顾名思义,“Web”的含义显然是需要服务器开放Web服务,“shell”的含义是取得对服务器某种程度上的操作权限。由于WebShell大多是以动态脚本的形式出现,也有人称之为“网站的后门工具”。2016年乌云列出的WebShell事件如图4-14所示。
图4-14 2016乌云WebShell事件
黑客通过WebShell可以达到长期控制被害服务器的目的,并且可以通过WebShell进一步渗透。
图4-15 KILLCHAIN
在KILLCHAIN模型中(见图4-15),WebShell属于command&control环节,换句话说一旦系统被安装WebShell并能执行,说明系统已经沦陷,属于高危安全事件。