反向壳体连接

Question

为什么反向shell连接在成功入侵的情况下如此流行？许多“黑客”视频显示了这一点，并经常在实践中看到。

大多数服务器不是会限制服务器在奇数端口上启动的传出连接吗？这难道不是一个基本的防火墙规则吗？

显然不是因为这种技术被使用，因为它更有可能绕过防火墙，我不明白的是为什么。

Answer 1

根据我的经验，许多人一开始就专注于预防袭击，而不是减轻影响。因此，传出防火墙规则通常不是一个优先事项。特别是如果需要自动更新，则必须为更新服务器定义异常。IP地址列表必须保持最新。

根据我的经验，攻击者尝试在文件上传表单中上载phpshell/perlshell/等的情况要普遍得多。攻击者希望这些文件存储在一个可通过启用脚本执行的via服务器访问的文件夹中。或者向请求参数中注入php代码和远程包含。此外，SQL和XSS攻击非常常见，钓鱼也是如此。当然，我的观察对我积极从事的领域有偏见: web应用程序和网络游戏安全。

话虽如此，当然还是有一个好主意，传出防火墙规则。

Answer 2

您的防火墙将有一些开放的出站端口，坏人会发现和使用它。您通常可以通过端口443 (HTTPS)进行隧道，如果不是，您可以隐藏在通过代理服务器转发的HTTP消息中。见鬼，PositivePRO虚拟专用网产品就是这么做的(或者至少做到了)。

您的服务器可能有一个出站防火墙规则，而坏人可能会禁用它或绕过它，这取决于您拥有的程度有多差(并且要记住，您可以证明没有“拥有”的程度--不管您拥有或没有拥有)。

为什么是贝壳？通常，您可以从命令提示符中执行任何可以从GUI执行的操作，而且通常还可以做更多的操作。他们也比，比如说，通过RDP挖出一个图形应用程序的速度更快，重量更轻。它们也可以更容易地隐藏在盒子上，并且具有更小的内存和CPU占用空间。