想必大家对Webshell不陌生吧,这是很让网站管理员头痛的玩意。一旦网站被植入了Webshell,那等同于小偷掌握了你家里的钥匙,可以随意进出,并且你还不知道。黑客可以通过Webshell篡改网页、篡改数据库、劫持网站、挂马、挂黑链、生成非法页面、窃取数据,危害性非常大。
网站出现webshell,大部分人的第一反应应该是赶紧杀掉这些Webshell。那今天我们就来分析一下如何查杀Webshell最有效。
首先,查杀Webshell需要杀毒引擎和病毒库,查杀效果则取决于病毒库。常用的杀毒软件(如WD、火绒、360等),虽然也能查杀部分webshell,但是他们不是专门查杀webshell用途, 因此与Webshell有关的病毒库就不是很丰富,查杀效果只能算一般吧!建议使用专业的webshell杀毒引擎,如:护卫神。
有了专业的杀毒引擎和病毒库,还需要从查杀机制上进行深入分析。常规的杀毒软件,只会在读取和写入文件时进行查杀。Webshell具有特殊性,是一个网页脚本,通过WebServer解析后的内容和源文件大不相同。而且还可以不断变种(对源码加密),一经变种后,由于病毒库没有新Webshell的特征码,就能轻松绕过杀毒引擎。因此一款优秀的webshell查杀软件,除了有丰富的病毒库,还需要能查杀不断变种后的新webshell。
《护卫神.防入侵系统》内置专业的Webshell查杀引擎,搭建有全球病毒监测网,自动收集各种webshell样本,查杀率高达99.9%。同时该系统具有多重查杀机制,上传时、保存时、访问时,都能进行查杀,不放过任何一个环节。
如下图一,《护卫神.防入侵系统》的"木马防护"模块专用于查杀webshell,只需要添加查杀目录(一般为网站目录),系统就会实时监控该目录下的所有文件,一旦发现webshell,立即查杀。
(图一:护卫神.防入侵系统专业查杀webshell)
如下图二,为了提升查杀效果,《护卫神.防入侵系统》还在WAF上增加了webshell查杀功能,对流入、流出服务器的数据(即上传时、访问时)进行查杀,让黑客无法将webshell上传到网站,即使变种webshell上传到了网站,也不能访问。
温馨提示:绝大部分杀毒软件都没有此功能!
(图二:护卫神.防入侵系统在WAF查杀webshell)
未开启WAF查杀木马时,变种木马可以访问,如下图三。
(图三:正常访问Webshell)
开启WAF查杀木马后,再访问该木马,会被拦截,如下图四。
(图四:访问Webshell被拦截)
大部分杀毒软件,都只在保存文件时进行查杀。由于webshell的特殊性,黑客可以轻松绕过,因此还需要在WAF层面进行查杀,尤其是对WebServer解析后的内容进行查杀,方可有效。如果你想从根源上杜绝wbeshell,可以试试《护卫神.防入侵系统》的"篡改防护"模块,保证让欣喜若狂!