一、什麼是WebShell木馬？
         WebShell通常是以asp、php、jsp、asa或者cgi等網頁檔案形式存在的—種命令執行環境，也可以稱為—種網頁後門。黑客在入侵網站後，通常會將WebShell後門檔案與網站伺服器WEB目錄下正常的網頁檔案混在—起，然後就可以使用瀏覽器來訪問這些後門，得到命令執行環境，以達到控制網站或者WEB系統伺服器的目的。這樣就可以上傳下載檔案、檢視資料庫、執行任意程式命令等。

對於缺乏專業維護人員的網站，建議向 360 網站管家 諮詢

以上資料 轉載自 國內安全公司 360 網站管家

二、WebShell是如何入侵系統的？
         1）利用系統前臺的上傳業務，上傳WebShell指令碼，上傳的目錄往往具有可執行的許可權。在web中有上傳影象、上傳資料檔案的地方，上傳完後通常會向客戶端返回上傳的檔案的完整URL資訊，有時候不反饋，我們也可以猜到常見的image、upload等目錄下面，如果Web對網站存取許可權或者資料夾目錄許可權控制不嚴，就可能被利用進行webshell攻擊，攻擊者可以利用上傳功能上傳一個指令碼檔案，然後在通過url訪問這個指令碼，指令碼就被執行。然後就會導致黑客可以上傳webshell到網站的任意目錄中，從而拿到網站的管理員控制權限。
         2）客戶獲取管理員的後臺密碼，登陸到後臺系統，利用後臺的管理工具向配置檔案寫入WebShell木馬，或者黑客私自新增上傳型別，允許指令碼程式類似asp、php的格式的檔案上傳。
         3）利用資料庫備份與恢復功能獲取webshell。如備份時候把備份檔案的字尾改成asp。或者後臺有mysql資料查詢功能，黑客可以通過執行select..in To outfile 查詢輸出php檔案，然後通過把程式碼插入到mysql，從而導致生成了webshell的木馬。
         4）系統其他站點被攻擊，或者伺服器上還搭載了ftp伺服器，ftp伺服器被攻擊了，然後被注入了webshell的木馬，然後網站系統也被感染了。
         5）黑客直接攻擊Web伺服器系統，Web伺服器在系統層面也可能存在漏洞，如果黑客利用其漏洞攻擊了伺服器系統，那麼黑客獲取了其許可權，則可以在web伺服器目錄裡上傳webshell檔案。
三、WebShell能夠肆虐的重要原因是什麼？
         1）WebShell能夠被注入很大程度是由於win2003 IIS6.0的環境下造成的。在IIS6.0環境下，我們上傳一個test.asp;.jpg的shell檔案，發現在上傳的時候，能夠成功上傳，因為監測為jpg的圖片檔案，但是在iis6.0解析的時候卻當成了asp的動態網頁檔案被執行。因此我們知道webshell木馬常見的特徵：x.asp;.png,x.php;.txt...
         2）WebShell的惡意指令碼是和正常的網頁檔案混在一起的，同時被黑客控制的伺服器和遠處主機都是通過80埠來傳遞資料的，不會被防火牆攔截，一般也不會在系統日誌中留下記錄，，具有極強的隱蔽性，一般不容易被查殺。
 四、如何防止系統被植入WebShell?
        1）web伺服器方面，開啟防火牆，防毒軟體等，關閉遠端桌面這些功能，定期更新伺服器補丁和防毒軟體。
        2）加強管理員的安全意識，在伺服器上不瀏覽不安全網站，定期修改密碼，同時對伺服器上的ftp類似的也要加強安全管理，防止被系統的木馬感染。
        3）加強許可權管理，對敏感目錄進行許可權設定，限制上傳目錄的指令碼執行許可權，不允許執行指令碼。建議用IIS6.0以上版本，同時不要用預設80埠。
        4）程式修補漏洞，程式要優化上傳x.asp;.png這樣類似的檔案。