WEBSHELL查杀教程
Windows下查杀
D盾
选择网站所在文件夹,点击开始扫描
河马查杀
添加扫描路径(网站所在文件夹):
Linux下查杀
WebShellKiller
下载WebShellKiller(没联网的手动复制到Linux服务器下):
wget http://edr.sangfor.com.cn/tool/WebShellKillerForLinux.tar.gz
手动复制查杀工具到Linux服务器
Windows下浏览器打开http://edr.sangfor.com.cn/backdoor_detection.html
点击红框部分下载,下载完成后使用winscp工具将查杀工具copy到Linux服务器下
Winscp工具使用方法
端口号账号密码跟ssh的端口号账户密码一致
选择是
连接成功后界面如下:
文件复制操作:
从左侧本机选中webshell查杀工具,拖动到右侧即可
复制完成后,关闭scp,我们回到ssh会话下。
解压到当前目录:
tar -zxf WebShellKillerForLinux.tar.gz
查看解压结果:
ls
可以看到多出centos_32、centos_64、linux_64三个文件夹
如果是centos 32/redhat 32那就使用centos_32,如果是centos 64/redhat 64那就使用centos_64,如果是其他linux 64那就使用linux_64
查看当前操作系统命令与位数:
查看版本
cat /etc/system-release
查看位数
uname -m
本次所使用的是centos64位所以我进入cd centos_64/wscan_app/文件夹下
添加执行权限:
Wscan当前没有可执行权限,需要加上
chmod +x wscan
加上之后ls 发现变绿了 说明就有了可执行权限
加载so文件:
wscan从LD_LIBRARY_PATH加载so文件,需要将当前路径加到LD_LIBRARY_PATH以使wscan能找到当前目录下的so
export LD_LIBRARY_PATH=`pwd`:$LD_LIBRARY_PATH
运行wscan:
./wscan
此时已经可以正常运行了。
进行webshell查杀
./wscan -hrf /root/webshelltest/ (目录替换成网站所在路径)
查看结果发现两处webshell。Over!
番外操作
条件可以的话,建议把Linux服务器下的网站目录copy至Windows下进行查杀,效果更佳。