常见的 Webshell 查杀工具

WaterBear 安全优化, 安全防护

1、D盾_Web查杀

阿D出品,使用自行研发不分扩展名的代码分析引擎,能分析更为隐藏的 WebShell 后门行为。

兼容性:只提供 Windows 版本。

工具下载地址:http://www.d99net.net

2、河马

专注 WebShell 查杀研究,拥有海量 WebShell 样本和自主查杀技术,采用传统特征+云端大数据双引擎的查杀技术。查杀速度快、精度高、误报低。

兼容性:支持 Windows、Linux,支持在线查杀。

官方网站:https://www.shellpub.com

3、Web Shell Detector

Web Shell Detector 具有 WebShell 签名数据库,可帮助识别高达 99% 的 WebShell。

兼容性:提供 PHP、Python 脚本,可跨平台,在线检测。

官方网站:http://www.shelldetector.com

github项目地址:https://github.com/emposha/PHP-Shell-Detector

4、Sangfor WebShellKiller(网站暗链检测工具)v3.3.0.2免费版

 

https://github.com/jinghunsanzu/WebShellKill

https://github.com/a935291958/WebShellKillerForLinuxTool

# 下载WebShellKiller
    wget http://edr.sangfor.com.cn/tool/WebShellKillerForLinux.tar.gz
  
    # 解压到当前目录
    tar -zxf WebShellKillerForLinux.tar.gz
  
    # 查看解压结果,可以看到多出centos_32、centos_64、linux_64三个文件夹
    # 如果是centos 32/redhat 32那就使用centos_32,如果是centos 64/redhat 64那就使用centos_64,如果是其他linux 64那就使用linux_64
    ls
  
    # 查看当前操作系统
    cat /etc/system-release
  
    # 查看当前操作系统是32位还是64位;x86是32位,x86_64或x64是64位;一般都是64位
    uname -m
  
    # 我这里是centos 64所以进入centos_64
    cd centos_64/wscan_app/
  
    # 查看当前目录文件,wscan是主程序
    ls
  
    # wscan默认没有可执行权限,需要加上
    chmod u+x wscan
  
    # wscan从LD_LIBRARY_PATH加载so文件,需要将当前路径加到LD_LIBRARY_PATH以使wscan能找到当前目录下的so
    export LD_LIBRARY_PATH=`pwd`:$LD_LIBRARY_PATH
  
    # 执行扫描,/www/wwwroot/app_805ds_com是我这里要扫描的路径,改成自己要扫描的即可
    # 被列出的文件即是被认为可疑的文件,人工识别是否为web应用自己所用文件即可
    ./wscan -hrf /www/wwwroot/app_805ds_com

 

5、检测centos服务器上的病毒或webshell感染文件的轻量化工具

1.在本地检查是否有 rootkit 的迹象

https://chkrootkit.org/download/

wget ftp://ftp.chkrootkit.org/pub/seg/pac/chkrootkit.tar.gz
tar zxvf chkrootkit.tar.gz
cd chkrootkit-0.58b/
make sense
./chkrootkit |grep INFECTED

2.下载 webshellkiller.gz

tar zxvf webshellkiller.gz
cd wscan_app/
export LD_LIBRARY_PATH=`pwd`:$LD_LIBRARY_PATH
./wscan -hrf /data

3.河马webshell查杀工具:

wget http://dl.shellpub.com/hm/latest/hm-linux-amd64.tgz
tar zxvf hm-linux-amd64.tgz
#常规扫描
./hm scan /www/your_web_dir
#深度扫描
./hm deepscan /www/your_web_dir

查看生成的result.csv

wget -O hm-linux-amd64.tgz https://dl.shellpub.com/hm/latest/hm-linux-amd64.tgz?version=1.8.3

wget -O hm-linux-386.tgz https://dl.shellpub.com/hm/latest/hm-linux-386.tgz?version=1.8.3

在线扫描:https://n.shellpub.com/

6、首个由DeepSeek独立开发的AI网络安全工具箱

https://github.com/ChinaRan0/DeepSeekSelfTool

7、在线沙箱

vt https://www.virustotal.com
奇安信沙箱 https://sandbox.ti.qianxin.com/sandbox/page
微步云沙箱 https://s.threatbook.com/
安恒云沙箱 https://sandbox.ti.qianxin.com/sandbox/page
360沙箱云 https://ata.360.net/

8、手动查杀

在根目录下查找所有后缀为php的文件,-iname意思是不区分大小写
查找其中的恶意关键词
find ./ -type f -iname "*.php" |xargs egrep 'assert|bash|system|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval\(|file_put_contents|base64_decode'

 

版权声明:
作者:WaterBear
链接:https://l-t.top/2871.html
来源:雷霆运维
文章版权归作者所有,未经允许请勿转载。

THE END
分享
二维码
< <上一篇
下一篇>>
文章目录
关闭
目 录