WebShell,顾名思义,“web”的含义大致为服务器开放web服务,“shell”的含义是取得对服务器某种程度上操作权限。黑客在入侵了一个网站后,通常会将这些asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问这些asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的(可以上传下载文件,查看数据库,执行任意程序命令等)。
由于webshell其大多是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门,黑客通过入侵网站 上传webshell后获得服务器的执行操作权限,比如执行系统命令、窃取用户数据、删除web页面、修改主页等,其危害不言而喻,而WebShell扫描检测工具可辅助查出该后门。
WebShell扫描工具适用:
- 网上下载的源码文件
- 检测文件是否是木马
- 检测目标程序或文件是否存在后门
- 免杀检测识别率测试
为了保证源码安全不存在后门,就诞生了WebShell扫描工具,其作用就是保证我们的服务器或者是网站数据的安全,下面我们就介绍8款热门的WebShell扫描工具可用于我们的源码杀毒或是检测木马。
D盾_防火墙
D盾_防火墙是一款专为IIS设计的一个主动防御的保护软件,以内外保护的方式 防止网站和服务器给入侵,在正常运行各类网站的情 况下,越少的功能,服务器越安全的理念而设计; 限制了常见的入侵方法,让服务器更安全!
支持系统:win2003、win2008、win2012、win2016、win2019
PHP支持:FastCGI/ISAPI (版本:5.x至7.x)
D盾_防火墙下载地址:https://www.d99net.net/
WEBDIR+WebShell查杀引擎
WEBDIR+ 由百度安全开发和维护,是一款在线WebShell查杀工具,同时也支持API
支持在线杀毒,上传文件或者压缩包后,文件会经过WEBDIR+三种引擎的检测,检测后文件会被立即删除,全程无人工介入。
目前支持的文件类型有:php, phtml, inc, php3, php4, php5, war, jsp, jspx, asp, aspx, cer, cdx, asa, ashx, asmx, cfm
目前支持的压缩包类型有 rar, zip, tar, xz, tbz, tgz, tbz2, bz2, gz
API查杀:
您可以通过如下方式提交需要扫描的文件,比如要扫描的文件为 “web.zip”,那么您需要执行如下命令:
curl https://scanner.baidu.com/enqueue -F archive=@web.zip
如果上传成功,您将会获取到一串JSON:
{
"status": 0,
"descr": "Task enqueued",
"md5": "b786fd0010f171cb85803eca877eb9d0",
"url": "https://scanner.baidu.com/result/b786fd0010f171cb85803eca877eb9d0"
}
其中URL的值表示扫描结果地址,您可以使用如下命令获取:
curl https://scanner.baidu.com/result/b786fd0010f171cb85803eca877eb9d0
同样,您会获取到一串JSON
[
{
// 文件 md5
"md5": "b786fd0010f171cb85803eca877eb9d0",
// 一共多少文件
"total": 1,
// 检测出多少
"detected": 1,
// 扫描状态
"status": "done",
// 已经扫描了多少文件
"scanned": 1,
// 检测结果
"data": [
{
// 文件相对路径
"path": "/b786fd0010f171cb85803eca877eb9d0.php",
// 检测结果
"descr": "BDS.WebShell.Chopper.1"
}
]
另外,我们支持批量获取检测结果,e.g
curl https://scanner.baidu.com/result/b786fd0010f171cb85803eca877eb9d0,b786fd0010f171cb85803eca877eb9d0
WEBDIR+WebShell在线查杀木马:https://scanner.baidu.com/
WebShellkiller
WebShellkiller作为一款web后门专杀工具,不仅支持webshell扫描,同时还支持暗链的扫描。这是一款融合了多重检测引擎的查杀工具。在传统正则匹配的基础上,采用模拟执行,参数动态分析监测技术、webshell语义分析技术、暗链隐藏特征分析技术,并根据webshell的行为模式构建了基于机器学习的智能检测模型。传统技术与人工智能技术相结合、静态扫描和动态分析相结合,更精准地检测出WEB网站已知和未知的后门文件。
WebShellkiller分为windows版和linux版:
window版)下载:https://edr.sangfor.com.cn/api/download/WebShellKillerTool.zip
linux版下载:https://edr.sangfor.com.cn/api/download/WebShellKillerForLinux.tar.gz
河马WEBSHELL
专注webshell查杀研究,拥有海量webshell样本和自主查杀技术,采用传统特征+云端大数据双引擎的查杀技术。查杀速度快、精度高、误报低,拥有海量webshell样本,形成科学查杀鉴定标准,可对同行产品进行查杀能力测评;日志分析、webshell查杀、溯源,帮助企业和网站站长进行webshell清理及漏洞挖掘修复。
河马WEBSHELL支持在线查杀,支持windows版、支持linux版
在线查杀地址:https://www.shellpub.com/
windows版:http://dl.shellpub.com/hm-ui/latest/HmSetup.zip?version=1.8.2
linux-amd64版:http://dl.shellpub.com/hm/latest/hm-linux-amd64.tgz?version=1.8.2
linux-386版:http://dl.shellpub.com/hm/latest/hm-linux-386.tgz?version=1.8.2
CloudWalker(牧云)
CloudWalker(牧云)是长亭推出的一款开源服务器安全管理平台。根据项目计划会逐步覆盖服务器资产管理、威胁扫描、Webshell扫描查杀、基线检测等各项功能。
本次开源作为开源计划的第一步,仅包含 Webshell 检测引擎部分,重点调优 Webshell扫描检测效果。目前放出的是一个可执行的命令行版本 Webshell 检测工具,目前,项目已停止更新。
兼容性:提供 Linux版本,Windows 暂不支持。
在线查杀:https://webshellchop.chaitin.cn/
下载地址:https://github.com/chaitin/cloudwalker
Web Shell Detector
php/python 脚本,可帮助您查找和识别 php/cgi(perl)/asp/aspx shell。Web Shell Detector 有一个“web shell”签名数据库,可帮助识别高达 99% 的“web shell”。保护您的服务器免受黑客攻击。
- 我们的签名数据库有助于识别高达 99% 的“web shell”
- 借助现代技术和最新的 javascript 和 css,web shell 检测器具有轻量级和友好的界面。
下载地址:http://www.shelldetector.com/
在线webshell查杀-灭绝师太版
通过对流行webshell和后门的代码特征快速定位出文件是否是木马文件,目前只针对PHP文件代码检测,其他类型的语言,暂时不支持
在线查杀地址:http://tools.bugscaner.com/killwebshell/
PHP Malware Finder
PHP Malware Finder(PHP 恶意软件查找器)是一款优秀的检测webshell和恶意软件混淆代码的工具,PHP Malware Finder会尽最大程度检测混淆/不可靠的代码,以及使用恶意软件/网络外壳中经常使用的PHP函数的文件。
还检测到以下编码器/混淆器/网络外壳列表:
Bantam
Best PHP Obfuscator
Carbylamine
Cipher Design
Cyklodev
Joes Web Tools Obfuscator
P.A.S
PHP Jiami
Php Obfuscator Encode
SpinObf
Weevely3
atomiku
cobra obfuscator
nano
novahot
phpencode
tennc
web-malware-collection
webtoolsvn
兼容性:提供Linux 版本,Windows 暂不支持。
下载地址:https://github.com/jvoisin/php-malware-finder