某省政府电子政务网案例：

一天上午，某省政府工作人员打来电话，“省政府的电子政务网被黑了”。安信华攻防人员接到通知后迅速查找问题原因，首先在用户Web防火墙最近一个星期的攻击日志里，并没发现明显的如SQL注入，密码暴力破解，危险的文件上传的攻击现象。

是不是服务器已经被黑客留下了后门?带着这个疑问，攻防小组人员用WebShell监测工具SpyBackDoorScanner对服务器网站所在的磁盘进行了全面扫描，扫描中发现了好几个可疑文件，再经手工排查，确认是WebShell木马后门。更为严重的是黑客对木马文件的代码进行了加密处理，绕过了Web防火墙和杀毒软件的查杀，并且木马文件建立的时间在架设安全设备之前，甚至，有几个木马文件一年前就存在了。

最后，攻防小组人员在清理了木马后门后，为了防止其他原因，又对网站进行了一个月的跟踪监控，再未发现网站再被挂广告暗链的情况。

1. WebShell的危害

WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的─种命令执行环境，也可以称为─种网页后门。黑客在入侵了网站后，通常会将这些asp、php、aspx、jsp后门文件与网站服务器WEB目录下正常的网页文件混在─起，然后就可以使用浏览器来访问这些后门，得到命令执行环境，以达到控制网站服务器的目的(可以上传下载文件、查看数据库、执行任意程序命令等)。

2. 后台得到WebShell的常见方法

直接上传获得WebShell：因过滤上传文件不严，导致用户可以直接上传WebShell到网站任意可写目录中，从而拿到网站的管理员控制权限;

添加修改上传类型：现在很多脚本程序上传模块不是只允许上传合法文件类型，大多数的系统是允许添加上传类型;

利用后台管理功能写入WebShell：进入后台后还可以通过修改相关文件来写入WebShell;

利用后台管理向配置文件写WebShell;

利用后台数据库备份及恢复获得WebShell：主要是利用后台对access数据库的“备份数据库”或“恢复数据库”功能，“备份的数据库路径”等变量没有过滤导致可以把任意文件后缀改为asp，从而得到WebShell;

后台需要有mysql数据查询功能,我们就可以利用它执行SELECT ... in TO OUTFILE查询输出php文件，因为所有的数据是存放在mysql里的，所以我们可以通过正常手段把我们的WebShell代码插入mysql在利用SELECT ... in TO OUTFILE语句导出shell;