前段时间,有一个用户问小编什么是webshell,悬镜服务器卫士是针对webshel文件内容进行扫描的,还是针对文件夹进行扫描的?今天小编就给大家简单的介绍下。
先来普及下什么是webshell?
webshell是web入侵的脚本攻击工具。
简单的说来,webshell就是一个asp或php木马后门,黑客在入侵了一个网站后,常常在将这些 asp或php木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。
然后黑客就可以用web的方式,通过asp或php木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。
为了更好理解webshell我们学习两个概念:
什么是“木马”?
“木马”全称是“特洛伊木马(Trojan
Horse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。
在Internet上,“特洛伊木马”指一些程序设计人员在其可从网络上下载 (Download)的应用程序或游戏中,包含了可以控制用户的计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪。
什么是后门?
大家都知道,一台计算机上有65535个端口,那么如果把计算机看作是一间屋子,那么这65535个端口就可以它看做是计算机为了与外界连接所开的65535 扇门。每个门的背后都是一个服务。
有的门是主人特地打开迎接客人的(提供服务),有的门是主人为了出去访问客人而开设的(访问远程服务)——理论上,剩下的其他门都该是关闭着的,但偏偏由于各种原因,很多门都是开启的。
于是就有好事者进入,主人的隐私被刺探,生活被打扰,甚至屋里的东西也被搞得一片狼迹。这扇悄然被开启的门——就是“后门”。
webshell的优点
webshell 最大的优点就是可以穿越防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。
并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,没有经验的管理员是很难看出入侵痕迹的。
如何寻找webshel:
1,脚本攻击SQL注入
2,使用注入工具
3、悬镜服务器卫士是针对Linux服务器进行安全防护软件,作为一名安全运维人员,悬镜服务器卫士是一款必备的安全运维软件。
木马查杀功能主要是对网站WebShell的检测与隔离,WebShell检测主要快速扫描,同时还有恢复区与信任区。
快速扫描是对系统中的Web文件进行检测扫描,快速扫描的路径是由Linux系统中Web服务器配置的网站路径决定的;自定义扫描的含义是用户可以自主选择哪些文件及目录要被检测。
恢复区主要是为了防止您的误操作,例如:您可能会将一些重要文件当做是威胁文件而误清理掉,从而影响到系统的正常使用,所以在您点击了清理操作后,系统并未将威胁文件直接删除,而是将其放入恢复区中,您可以将因为误操作而清理掉的文件从恢复区中“找回”,并且被清理到恢复区的文件已经不能对系统产生威胁;
信任区是用户添加的可以信任的文件区域,当系统进行WebShell扫描之后,会存在一部分可疑文件,这些文件中可能存在一些敏感威胁信息,所以会被认定为威胁文件,但是您可以肯定这一类文件对系统并没有任何威胁,对于这类文件您可以将其添加到信任区,并且信任区内的文件再次扫描时不会被扫描到。
用户可以根据不同的选择进行有针对的操作。
扫描结束后界面中会显示扫描的结果:WebShell的个数、可疑文件个数以及威胁文件等,可以查看威胁文件的详细信息以及建议的处理方式,也可以点击一键修复。
下面将通过图文结合的方式来详细演示Webshell的具体操作。
-
点击导航条的“木马查杀”,界面如下
图2-7-1木马查杀界面
2.点击“快速扫描”,进入到快速扫描界面,会出现下图扫描状态:
图2-7-2快速扫描过程界面
扫描结束,如果扫描出可疑文件或者WebShell文件,会出现如下图界面:
图2-7-3快速扫描结果界面
4.对扫描结果进行处理后,系统会将扫描的结果直观地反映出来,扫描的方式、扫描用时、扫描结果,处理后的安全文件分布用柱状图显示出安全文件分布。
图2-7-4快速扫描处理后结果界面
5.点击自定义扫描之后,会出现选择目录,用户可根据需要选择扫描的文件
图2-7-5自定义扫描界面
6.点击选择按钮,系统进入自定义扫描界面,对选择过的目录进行检测:
图2-7-6自定义扫描进行界面
7.扫描结束后,显示扫描结果界面,会列出可疑文件,您也可以查看详细信息,系统会给您一定的操作建议,供您选择,具体信息如下图:
图2-7-7自定义扫描结果界面
8.对于WebShell中的“恢复区”、“信任区”,“恢复区”中的文件是这样一类文件:上一步扫描出的威胁文件,可能是WebShell文件或者可疑文件,对扫描结果进行一键修复或者清理操作后,这些威胁文件会被放入恢复区中。
恢复区设计的主要的目的是为了避免您之前的误操作,如果您不小心清理了重要的文件,可以在这里进行恢复,点击“恢复区”会出现以下界面:
图2-7-8恢复区界面
在界面中会出现以往处理过的文件名、清理时间、操作,可以选择文件进行恢复。
9.“信任区”:信任区界面如下, 被添加到信任区中的文件不会再被当成威胁文件扫描,并且您也可以选择取消信任。
图2-7-9信任区界面