前段時間，有一個用戶問小編什么是webshell，懸鏡服務(wù)器衛(wèi)士是針對webshel文件內(nèi)容進行掃描的，還是針對文件夾進行掃描的？今天小編就給大家簡單的介紹下。

先來普及下什么是webshell？

webshell是web入侵的腳本攻擊工具。

簡單的說來，webshell就是一個asp或php木馬后門，黑客在入侵了一個網(wǎng)站后，常常在將這些 asp或php木馬后門文件放置在網(wǎng)站服務(wù)器的web目錄中，與正常的網(wǎng)頁文件混在一起。

(資料圖)

是什么？

然后黑客就可以用web的方式，通過asp或php木馬后門控制網(wǎng)站服務(wù)器，包括上傳下載文件、查看數(shù)據(jù)庫、執(zhí)行任意程序命令等。

為了更好理解webshell我們來了解兩個概念：

什么是“木馬”？

“木馬”全稱是“特洛伊木馬(Trojan

Horse)”，原指古希臘士兵藏在木馬內(nèi)進入敵方城市從而占領(lǐng)敵方城市的故事。

在Internet上，“特洛伊木馬”指一些程序設(shè)計人員在其可從網(wǎng)絡(luò)上下載 (Download)的應(yīng)用程序或游戲中，包含了可以控制用戶的計算機系統(tǒng)的程序，可能造成用戶的系統(tǒng)被破壞甚至癱瘓。

什么是后門？

大家都知道，一臺計算機上有65535個端口，那么如果把計算機看作是一間屋子，那么這65535個端口就可以它看做是計算機為了與外界連接所開的65535 扇門。每個門的背后都是一個服務(wù)。

有的門是主人特地打開迎接客人的（提供服務(wù)），有的門是主人為了出去訪問客人而開設(shè)的（訪問遠程服務(wù)）——理論上，剩下的其他門都該是關(guān)閉著的，但偏偏由于各種原因，很多門都是開啟的。

于是就有好事者進入，主人的隱私被刺探，生活被打擾，甚至屋里的東西也被搞得一片狼跡。這扇悄然被開啟的門——就是“后門”。

webshell的優(yōu)點

webshell 最大的優(yōu)點就是可以穿越防火墻，由于與被控制的服務(wù)器或遠程主機交換的數(shù)據(jù)都是通過80端口傳遞的，因此不會被防火墻攔截。

優(yōu)點

并且使用webshell一般不會在系統(tǒng)日志中留下記錄，只會在網(wǎng)站的web日志中留下一些數(shù)據(jù)提交記錄，沒有經(jīng)驗的管理員是很難看出入侵痕跡的。

如何尋找webshel：

如何做

1，腳本攻擊SQL注入

2，使用注入工具

3、使用Linux安全防護軟件：懸鏡服務(wù)器衛(wèi)士是針對Linux服務(wù)器進行安全防護軟件，作為一名安全運維人員，懸鏡服務(wù)器衛(wèi)士是一款必備的安全運維軟件。

木馬查殺功能主要是對網(wǎng)站W(wǎng)ebShell的檢測與隔離，WebShell檢測主要快速掃描，同時還有恢復(fù)區(qū)與信任區(qū)。

快速掃描是對系統(tǒng)中的Web文件進行檢測掃描，快速掃描的路徑是由Linux系統(tǒng)中Web服務(wù)器配置的網(wǎng)站路徑?jīng)Q定的；自定義掃描的含義是用戶可以自主選擇哪些文件及目錄要被檢測。

恢復(fù)區(qū)主要是為了防止您的誤操作，例如：您可能會將一些重要文件當做是威脅文件而誤清理掉，從而影響到系統(tǒng)的正常使用，所以在您點擊了清理操作后，系統(tǒng)并未將威脅文件直接刪除，而是將其放入恢復(fù)區(qū)中，您可以將因為誤操作而清理掉的文件從恢復(fù)區(qū)中“找回”，并且被清理到恢復(fù)區(qū)的文件已經(jīng)不能對系統(tǒng)產(chǎn)生威脅；

信任區(qū)是用戶添加的可以信任的文件區(qū)域，當系統(tǒng)進行WebShell掃描之后，會存在一部分可疑文件，這些文件中可能存在一些敏感威脅信息，所以會被認定為威脅文件，但是您可以肯定這一類文件對系統(tǒng)并沒有任何威脅，對于這類文件您可以將其添加到信任區(qū)，并且信任區(qū)內(nèi)的文件再次掃描時不會被掃描到。

用戶可以根據(jù)不同的選擇進行有針對的操作。

掃描結(jié)束后界面中會顯示掃描的結(jié)果：WebShell的個數(shù)、可疑文件個數(shù)以及威脅文件等，可以查看威脅文件的詳細信息以及建議的處理方式，也可以點擊一鍵修復(fù)。

下面將通過圖文結(jié)合的方式來詳細演示W(wǎng)ebshell的具體操作。

點擊導(dǎo)航條的“木馬查殺”，界面如下

木馬查殺界面

2.點擊“快速掃描”，進入到快速掃描界面，會出現(xiàn)下圖掃描狀態(tài)：

快速掃描過程界面

3.掃描結(jié)束，如果掃描出可疑文件或者WebShell文件，會出現(xiàn)如下圖界面：

快速掃描結(jié)果界面

4.對掃描結(jié)果進行處理后，系統(tǒng)會將掃描的結(jié)果直觀地反映出來，掃描的方式、掃描用時、掃描結(jié)果，處理后的安全文件分布用柱狀圖顯示出安全文件分布。

快速掃描處理后結(jié)果界面

5.點擊自定義掃描之后，會出現(xiàn)選擇目錄，用戶可根據(jù)需要選擇掃描的文件

自定義掃描界面

6.點擊選擇按鈕，系統(tǒng)進入自定義掃描界面，對選擇過的目錄進行檢測：

自定義掃描進行界面

7.掃描結(jié)束后，顯示掃描結(jié)果界面，會列出可疑文件，您也可以查看詳細信息，系統(tǒng)會給您一定的操作建議，供您選擇，具體信息如下圖：

自定義掃描結(jié)果界面

8.對于WebShell中的“恢復(fù)區(qū)”、“信任區(qū)”，“恢復(fù)區(qū)”中的文件是這樣一類文件：上一步掃描出的威脅文件，可能是WebShell文件或者可疑文件，對掃描結(jié)果進行一鍵修復(fù)或者清理操作后，這些威脅文件會被放入恢復(fù)區(qū)中。

恢復(fù)區(qū)設(shè)計的主要的目的是為了避免您之前的誤操作，如果您不小心清理了重要的文件，可以在這里進行恢復(fù)，點擊“恢復(fù)區(qū)”會出現(xiàn)以下界面：

恢復(fù)區(qū)界面

在界面中會出現(xiàn)以往處理過的文件名、清理時間、操作，可以選擇文件進行恢復(fù)。

9.“信任區(qū)”：信任區(qū)界面如下， 被添加到信任區(qū)中的文件不會再被當成威脅文件掃描，并且您也可以選擇取消信任。

信任區(qū)界面

懸鏡服務(wù)器免費體驗地址：http://www.xmirror.cn/

關(guān)鍵詞： 詳細信息 安全防護 特洛伊木馬