前段時(shí)間，有一個(gè)用戶問(wèn)小編什么是webshell，懸鏡服務(wù)器衛(wèi)士是針對(duì)webshel文件內(nèi)容進(jìn)行掃描的，還是針對(duì)文件夾進(jìn)行掃描的？今天小編就給大家簡(jiǎn)單的介紹下。

先來(lái)普及下什么是webshell？

webshell是web入侵的腳本攻擊工具。

簡(jiǎn)單的說(shuō)來(lái)，webshell就是一個(gè)asp或php木馬后門(mén)，黑客在入侵了一個(gè)網(wǎng)站后，常常在將這些 asp或php木馬后門(mén)文件放置在網(wǎng)站服務(wù)器的web目錄中，與正常的網(wǎng)頁(yè)文件混在一起。

(資料圖)

是什么？

然后黑客就可以用web的方式，通過(guò)asp或php木馬后門(mén)控制網(wǎng)站服務(wù)器，包括上傳下載文件、查看數(shù)據(jù)庫(kù)、執(zhí)行任意程序命令等。

為了更好理解webshell我們來(lái)了解兩個(gè)概念：

什么是“木馬”？

“木馬”全稱是“特洛伊木馬(Trojan

Horse)”，原指古希臘士兵藏在木馬內(nèi)進(jìn)入敵方城市從而占領(lǐng)敵方城市的故事。

在Internet上，“特洛伊木馬”指一些程序設(shè)計(jì)人員在其可從網(wǎng)絡(luò)上下載 (Download)的應(yīng)用程序或游戲中，包含了可以控制用戶的計(jì)算機(jī)系統(tǒng)的程序，可能造成用戶的系統(tǒng)被破壞甚至癱瘓。

什么是后門(mén)？

大家都知道，一臺(tái)計(jì)算機(jī)上有65535個(gè)端口，那么如果把計(jì)算機(jī)看作是一間屋子，那么這65535個(gè)端口就可以它看做是計(jì)算機(jī)為了與外界連接所開(kāi)的65535 扇門(mén)。每個(gè)門(mén)的背后都是一個(gè)服務(wù)。

有的門(mén)是主人特地打開(kāi)迎接客人的（提供服務(wù)），有的門(mén)是主人為了出去訪問(wèn)客人而開(kāi)設(shè)的（訪問(wèn)遠(yuǎn)程服務(wù)）——理論上，剩下的其他門(mén)都該是關(guān)閉著的，但偏偏由于各種原因，很多門(mén)都是開(kāi)啟的。

于是就有好事者進(jìn)入，主人的隱私被刺探，生活被打擾，甚至屋里的東西也被搞得一片狼跡。這扇悄然被開(kāi)啟的門(mén)——就是“后門(mén)”。

webshell的優(yōu)點(diǎn)

webshell 最大的優(yōu)點(diǎn)就是可以穿越防火墻，由于與被控制的服務(wù)器或遠(yuǎn)程主機(jī)交換的數(shù)據(jù)都是通過(guò)80端口傳遞的，因此不會(huì)被防火墻攔截。

優(yōu)點(diǎn)

并且使用webshell一般不會(huì)在系統(tǒng)日志中留下記錄，只會(huì)在網(wǎng)站的web日志中留下一些數(shù)據(jù)提交記錄，沒(méi)有經(jīng)驗(yàn)的管理員是很難看出入侵痕跡的。

如何尋找webshel：

如何做

1，腳本攻擊SQL注入

2，使用注入工具

3、使用Linux安全防護(hù)軟件：懸鏡服務(wù)器衛(wèi)士是針對(duì)Linux服務(wù)器進(jìn)行安全防護(hù)軟件，作為一名安全運(yùn)維人員，懸鏡服務(wù)器衛(wèi)士是一款必備的安全運(yùn)維軟件。

木馬查殺功能主要是對(duì)網(wǎng)站W(wǎng)ebShell的檢測(cè)與隔離，WebShell檢測(cè)主要快速掃描，同時(shí)還有恢復(fù)區(qū)與信任區(qū)。

快速掃描是對(duì)系統(tǒng)中的Web文件進(jìn)行檢測(cè)掃描，快速掃描的路徑是由Linux系統(tǒng)中Web服務(wù)器配置的網(wǎng)站路徑?jīng)Q定的；自定義掃描的含義是用戶可以自主選擇哪些文件及目錄要被檢測(cè)。

恢復(fù)區(qū)主要是為了防止您的誤操作，例如：您可能會(huì)將一些重要文件當(dāng)做是威脅文件而誤清理掉，從而影響到系統(tǒng)的正常使用，所以在您點(diǎn)擊了清理操作后，系統(tǒng)并未將威脅文件直接刪除，而是將其放入恢復(fù)區(qū)中，您可以將因?yàn)檎`操作而清理掉的文件從恢復(fù)區(qū)中“找回”，并且被清理到恢復(fù)區(qū)的文件已經(jīng)不能對(duì)系統(tǒng)產(chǎn)生威脅；

信任區(qū)是用戶添加的可以信任的文件區(qū)域，當(dāng)系統(tǒng)進(jìn)行WebShell掃描之后，會(huì)存在一部分可疑文件，這些文件中可能存在一些敏感威脅信息，所以會(huì)被認(rèn)定為威脅文件，但是您可以肯定這一類文件對(duì)系統(tǒng)并沒(méi)有任何威脅，對(duì)于這類文件您可以將其添加到信任區(qū)，并且信任區(qū)內(nèi)的文件再次掃描時(shí)不會(huì)被掃描到。

用戶可以根據(jù)不同的選擇進(jìn)行有針對(duì)的操作。

掃描結(jié)束后界面中會(huì)顯示掃描的結(jié)果：WebShell的個(gè)數(shù)、可疑文件個(gè)數(shù)以及威脅文件等，可以查看威脅文件的詳細(xì)信息以及建議的處理方式，也可以點(diǎn)擊一鍵修復(fù)。

下面將通過(guò)圖文結(jié)合的方式來(lái)詳細(xì)演示W(wǎng)ebshell的具體操作。

點(diǎn)擊導(dǎo)航條的“木馬查殺”，界面如下

木馬查殺界面

2.點(diǎn)擊“快速掃描”，進(jìn)入到快速掃描界面，會(huì)出現(xiàn)下圖掃描狀態(tài)：

快速掃描過(guò)程界面

3.掃描結(jié)束，如果掃描出可疑文件或者WebShell文件，會(huì)出現(xiàn)如下圖界面：

快速掃描結(jié)果界面

4.對(duì)掃描結(jié)果進(jìn)行處理后，系統(tǒng)會(huì)將掃描的結(jié)果直觀地反映出來(lái)，掃描的方式、掃描用時(shí)、掃描結(jié)果，處理后的安全文件分布用柱狀圖顯示出安全文件分布。

快速掃描處理后結(jié)果界面

5.點(diǎn)擊自定義掃描之后，會(huì)出現(xiàn)選擇目錄，用戶可根據(jù)需要選擇掃描的文件

自定義掃描界面

6.點(diǎn)擊選擇按鈕，系統(tǒng)進(jìn)入自定義掃描界面，對(duì)選擇過(guò)的目錄進(jìn)行檢測(cè)：

自定義掃描進(jìn)行界面

7.掃描結(jié)束后，顯示掃描結(jié)果界面，會(huì)列出可疑文件，您也可以查看詳細(xì)信息，系統(tǒng)會(huì)給您一定的操作建議，供您選擇，具體信息如下圖：

自定義掃描結(jié)果界面

8.對(duì)于WebShell中的“恢復(fù)區(qū)”、“信任區(qū)”，“恢復(fù)區(qū)”中的文件是這樣一類文件：上一步掃描出的威脅文件，可能是WebShell文件或者可疑文件，對(duì)掃描結(jié)果進(jìn)行一鍵修復(fù)或者清理操作后，這些威脅文件會(huì)被放入恢復(fù)區(qū)中。

恢復(fù)區(qū)設(shè)計(jì)的主要的目的是為了避免您之前的誤操作，如果您不小心清理了重要的文件，可以在這里進(jìn)行恢復(fù)，點(diǎn)擊“恢復(fù)區(qū)”會(huì)出現(xiàn)以下界面：

恢復(fù)區(qū)界面

在界面中會(huì)出現(xiàn)以往處理過(guò)的文件名、清理時(shí)間、操作，可以選擇文件進(jìn)行恢復(fù)。

9.“信任區(qū)”：信任區(qū)界面如下， 被添加到信任區(qū)中的文件不會(huì)再被當(dāng)成威脅文件掃描，并且您也可以選擇取消信任。

信任區(qū)界面

懸鏡服務(wù)器免費(fèi)體驗(yàn)地址：http://www.xmirror.cn/

關(guān)鍵詞： 詳細(xì)信息 安全防護(hù) 特洛伊木馬