自从大学毕业后，我就进入了一家安全公司做技术工作。多年过去，一直奔波于各色各样的客户现场，听过各种类型的客户需求，处理过形形色色的安全问题，也聆听过各种吐槽与感慨。不过，这一次与黑客的实时交锋却让我难忘。

一次“直击灵魂”的对话

“四毛，你说说看，为啥我买了几百万的安全设备，防火墙、堡垒机、IDS、IPS……数都数不清了，为啥黑客到我这里还是能来去自如？”

面对这样露骨的问题我也只能无奈说声，“老总，毕竟天下没有攻不破的网络…..”

还没等我说完，老总立马打断我。

“不能拦住所有攻击我也能理解，但是花了几百万，总要告诉我到底哪些攻击没被拦住？安全防线又是怎么被突破的？”老总不经意间提高了嗓门，还带着一丝丝的怒气。

“是啊，老总，安全最可怕的不是那些已经被拦住的攻击，而是那些没有被拦住却又不知道的攻击。”

“希望你们的产品，不会让我失望。能准确告诉我到底有哪些攻击没被拦住。”

正当我准备接话表决心的时候，我的两手机不约而同地发出“吱吱吱”猛烈震动，接连收到“Web后门”和“反弹Shell”两个高危告警……

“老总，看来没让您失望，现在你可以知道都有哪些攻击逃过了那堆“几百万设备”了。”

我立马飞奔机房……

“Web后门”和“反弹Shell”都是啥？

为了让各位老少爷们能身临其境体验与黑客实时交锋的场景，在故事开场前，我先给大家普及两个概念。懂行的可以直接跳过进入第三部分。

①什么是Web后门

简单来说，Web后门（WebShell）就是一个ASP、PHP或JSP的木马后门。一般情况下，黑客在入侵一个网站后，常常会将这些ASP、PHP或JSP的木马后门文件放置在网站服务器的Web目录中，与正常的网页文件混在一起。黑客通过这些Web后门可以控制网站服务器，包括上传下载文件、查看数据库、执行任意程序命令等。通俗来讲，就是你的网站被黑了。

②反弹Shell又是何物

想要搞清楚这个问题，首先要搞清楚什么是反弹，为什么要反弹。

攻击者用自己的机器去连接目标主机，这叫做正向连接，例如远程桌面、Web服务、SSH、Telnet等。

什么情况下正向连接不太好用呢？

（1）被控制机器在局域网内，IP会动态改变，不能持续控制。

（2）由于防火墙等限制，对方机器只能发送请求，不能接收请求。

所以建立一个服务端，让目标机器主动连接，这才是上策。攻击者指定服务，让受害者的主机主动连接攻击者的服务器，就叫反弹连接。黑客在拿到WebShell后，如果目标主机是Linux服务器，一般都会选择反弹Shell，以方便后续操作。

知己知彼，百战不殆

上战场前，为了做到知己知彼，还是先打开手机了解下整体战况。有了这两份精准而又详细的报警信息，将会让分析过程变得更简单。

通过产品“Web后门”告警信息，可以看到这个WebShell文件shell.php具有反弹Shell的功能。

通过产品“反弹Shell”告警信息，可以清楚了解如下图所示的各种信息，包括攻击时间、连接进程、反弹目标主机和端口等等。

查看反弹Shell的详情，果然发现在10点53分，老总机房一台主机“失陷”了。通过PHP71连接进程主动对远在菲律宾的一台目标主机发起了连接（这显然是黑客控制的一台服务器）。

黑客是怎么进来的

按照道理，老王“军营”封闭式管理非常严格，大门前有站岗的“防火墙”，军营内到处都是无死角的视频监视“入侵检测”，内部还有审计员“堡垒机”…….层层防护下，黑客是如何做到来去自如？