推荐个Web后门扫描排查工具—WebShellkiller
导读
说起博客站点的后门、木马来,明月可以说是经历了各种各样的骚扰和侵害,被植入过黑链、被搜索引擎关键词劫持、被盗过管理员账号密码等等,可以说是五花八门了,好在近几年发现后门、木马都比较及时(一般一周最多两周我就可以判断出自己站点是否被后门、木马入侵了),基本上没有造成多大的损失和伤害,但是让我胆寒的是“防不胜防”。
因为 Web 后门木马的特殊性一般都是以“源码”的形式存在着,这就造成我们个人电脑上安全软件对这类“源码”形式存在的恶意后门、木马等基本就是个摆设而已,所以明月一直给大家强调来路不正、不明的插件、主题能不去尝试就不要尝试,对于需要上传到网站根目录下的文件、目录更是要严防死控。就这样都不能百分百保证可以完事大吉了,因为指不定在哪个源码文件里隐藏了一个“木马”语句,还可以“被激活”后就会迅速的传播和执行。所以,查杀这些在“源码”文件中的“恶意代码”才是最有效的办法,今天明月就给大家推荐个 Web 后门专杀工具——WebShellkiller。
这个 WebShellkiller 明月已经使用了几天了,经过几次实测后发现准确率和速度还是非常不错的,至少给明月的几个博客扫描后都找出了几个隐藏的后门木马类的“源码文件”,如下图所示:
下面先看看 WebShellkiller 工具的官方介绍:
webshell 就是一种可以在 web 服务器上执行的后台脚本或者命令执行环境,黑客通过入侵网站上传 webshell 后获得服务器的执行操作权限,比如执行系统命令、窃取用户数据、删除 web 页面、修改主页等,其危害不言而喻。
暗链,指站点被黑客利用技术入侵,并且取得权限,经过代码的添加,实现隐藏的一个或者多个导出链接,站长以及管理员很难发现链接的存在。暗链的存在往往标志着该网站存在安全漏洞,轻则该网站会成为一些非法网站提升 seo 排名的工具,重则该漏洞会被不法分子利用攻击。
WebShellkiller 作为一款 web 后门专杀工具,不仅支持 webshell 的扫描,同时还支持暗链的扫描。这是一款融合了多重检测引擎的查杀工具。在传统正则匹配的基础上,采用模拟执行,参数动态分析监测技术、webshell 语义分析技术、暗链隐藏特征分析技术,并根据 webshell 的行为模式构建了基于机器学习的智能检测模型。传统技术与人工智能技术相结合、静态扫描和动态分析相结合,更精准地检测出 WEB 网站已知和未知的后门文件。
WebShellkiller3.3 版本在原来的基础上,优化了 webshell 检出规则,大大提高 webshell 检出率。同时支持敏感关键词的暗链检测,除了默认敏感词,用户可自行定义敏感词。
WebShellkiller 的使用其实非常的简单,即使小白站长也可以很快上手,明月就不多说这些了。虽然 WebShellkiller 有 Linux 版的,但是明月不建议大家在服务器上运行和使用,服务器必须要有“安全洁癖”这种偏执的执着,查杀前可以利用 FTP 软件将站点下载到本地电脑指定目录(本地镜像也可以了,总之就是不直接对服务器端进行直接扫描和操作,安全第一嘛!),然后让 WebShellkiller 扫描本地电脑站点目录即可,在发现了可疑文件后先备份后再对服务器端对应文件进行操作(比如:删除等),切记要记得备份、备份、备份(重要的事说三遍)。
要养成定期排查一下,时刻保证服务器端的“纯净”,在准备试用某些插件、主题的时候也建议大家先用 WebShellkiller 本地排查后再上传启用试用,后门、木马很多时候对博客网站来说是“致命”的威胁往往造成的后果都是灾难性的,所以明月强烈建议博客站长们常备这个扫描排查工具 WebShellkiller。