一、前言:
WebShell 作为服务端脚本,因其语言的灵活性,可以随意反射、编码和变形,一直都是安全和运维人员最头疼的问题之一。宝塔面板集成了长亭科技牧云主机安全产品的 WebShell 检测能力,其使用了语义分析、机器学习和基于数据流特征的多种方式来处理 WebShell 检测问题,效果突出,得到了安全行业的广泛认可。
二、webshell简介
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。
三、如何使用宝塔面板集成牧云的webshell查杀呢?
3.1 使用的必要条件
必要条件 Linux 面板7.4.5 并且是最新(大于2020年9月16日)安装的。
如果是在2020-09-16之前安装宝塔面板,则需要在首页修复一下面板,即可更新到最新版本。
也可以登录SSH使用命令行进行升级
bt 16
3.2 计划任务木马查杀(定时触发告警)
3.2.1 设置消息通道
消息通道可以设置邮箱、钉钉、企业微信
邮件支持QQ邮箱、腾讯企业邮箱。只要支持SMTP协议的邮箱基本上都支持。
大家要问为什么要设置这个呢?因为可以及时告警通知到您,也能及时响应。
3.2.2 设置木马查杀
单独说明一下。选择所有网站。最大支持扫描500个网站,也可以选择单某个网站。
3.2.3 测试
我这里准备了一个简单的木马文件
然后进行查杀
3.3 误报提交
如果有误报请在当前帖子下面进行反馈
https://www.bt.cn/bbs/thread-56295-1-1.html
四、其他webshell监测工具
4.1 D盾
阿D出品,使用自行研发不分扩展名的代码分析引擎,能分析更为隐藏的WebShell后门行为。
兼容性:只提供Windows版本。
工具下载地址:
http://www.d99net.net/down/d_safe_2.1.5.4.zip
4.2、百度WEBDIR+
下一代WebShell检测引擎,在线查杀木马
官网地址:https://scanner.baidu.com/#/pages/intro
4.3、河马
专注webshell查杀研究,拥有海量webshell样本和自主查杀技术,采用传统特征+云端大数据双引擎的查杀技术。查杀速度快、精度高、误报低。
兼容性:支持Windows、linux,支持在线查杀。
官方网站:https://www.shellpub.com/