WebShell,顾名思义,“web”的含义大致为服务器开放web服务,“shell”的含义是取得对服务器某种程度上操作权限。黑客在入侵了一个网站后,通常会将这些asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问这些asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的(可以上传下载文件,查看数据库,执行任意程序命令等)。

由于webshell其大多是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门,黑客通过入侵网站 上传webshell后获得服务器的执行操作权限,比如执行系统命令、窃取用户数据、删除web页面、修改主页等,其危害不言而喻,而WebShell扫描检测工具可辅助查出该后门。

WebShell扫描工具适用:

  • 网上下载的源码文件
  • 检测文件是否是木马
  • 检测目标程序或文件是否存在后门
  • 免杀检测识别率测试

为了保证源码安全不存在后门,就诞生了WebShell扫描工具,其作用就是保证我们的服务器或者是网站数据的安全,下面我们就介绍8款热门的WebShell扫描工具可用于我们的源码杀毒或是检测木马。

D盾_防火墙

D盾_防火墙是一款专为IIS设计的一个主动防御的保护软件,以内外保护的方式 防止网站和服务器给入侵,在正常运行各类网站的情 况下,越少的功能,服务器越安全的理念而设计; 限制了常见的入侵方法,让服务器更安全!

8款热门WebShell查杀扫描检测工具,附下载地址插图

支持系统:win2003、win2008、win2012、win2016、win2019

PHP支持:FastCGI/ISAPI (版本:5.x至7.x)

D盾_防火墙下载地址:https://www.d99net.net/

 

WEBDIR+WebShell查杀引擎

WEBDIR+ 由百度安全开发和维护,是一款在线WebShell查杀工具,同时也支持API

8款热门WebShell查杀扫描检测工具,附下载地址插图

支持在线杀毒,上传文件或者压缩包后,文件会经过WEBDIR+三种引擎的检测,检测后文件会被立即删除,全程无人工介入。

目前支持的文件类型有:php, phtml, inc, php3, php4, php5, war, jsp, jspx, asp, aspx, cer, cdx, asa, ashx, asmx, cfm
目前支持的压缩包类型有 rar, zip, tar, xz, tbz, tgz, tbz2, bz2, gz

API查杀:

您可以通过如下方式提交需要扫描的文件,比如要扫描的文件为 “web.zip”,那么您需要执行如下命令:

curl https://scanner.baidu.com/enqueue -F archive=@web.zip

如果上传成功,您将会获取到一串JSON:

{
  "status": 0,
  "descr":  "Task enqueued",
  "md5":    "b786fd0010f171cb85803eca877eb9d0",
  "url":    "https://scanner.baidu.com/result/b786fd0010f171cb85803eca877eb9d0"
}

其中URL的值表示扫描结果地址,您可以使用如下命令获取:

curl https://scanner.baidu.com/result/b786fd0010f171cb85803eca877eb9d0

同样,您会获取到一串JSON

[
  {
    // 文件 md5
    "md5": "b786fd0010f171cb85803eca877eb9d0",

    // 一共多少文件
    "total": 1,

    // 检测出多少
    "detected": 1,

    // 扫描状态
    "status": "done",

    // 已经扫描了多少文件
    "scanned": 1,

    // 检测结果
    "data": [
    {
        // 文件相对路径
        "path": "/b786fd0010f171cb85803eca877eb9d0.php",

        // 检测结果
        "descr": "BDS.WebShell.Chopper.1"
    }
]

另外,我们支持批量获取检测结果,e.g

curl https://scanner.baidu.com/result/b786fd0010f171cb85803eca877eb9d0,b786fd0010f171cb85803eca877eb9d0

WEBDIR+WebShell在线查杀木马:https://scanner.baidu.com/

 

WebShellkiller

WebShellkiller作为一款web后门专杀工具,不仅支持webshell扫描,同时还支持暗链的扫描。这是一款融合了多重检测引擎的查杀工具。在传统正则匹配的基础上,采用模拟执行,参数动态分析监测技术、webshell语义分析技术、暗链隐藏特征分析技术,并根据webshell的行为模式构建了基于机器学习的智能检测模型。传统技术与人工智能技术相结合、静态扫描和动态分析相结合,更精准地检测出WEB网站已知和未知的后门文件。

8款热门WebShell查杀扫描检测工具,附下载地址插图

WebShellkiller分为windows版和linux版:

window版)下载:https://edr.sangfor.com.cn/api/download/WebShellKillerTool.zip

linux版下载:https://edr.sangfor.com.cn/api/download/WebShellKillerForLinux.tar.gz

 

河马WEBSHELL

专注webshell查杀研究,拥有海量webshell样本和自主查杀技术,采用传统特征+云端大数据双引擎的查杀技术。查杀速度快、精度高、误报低,拥有海量webshell样本,形成科学查杀鉴定标准,可对同行产品进行查杀能力测评;日志分析、webshell查杀、溯源,帮助企业和网站站长进行webshell清理及漏洞挖掘修复。

8款热门WebShell查杀扫描检测工具,附下载地址插图

河马WEBSHELL支持在线查杀,支持windows版、支持linux版

在线查杀地址:https://www.shellpub.com/

windows版:http://dl.shellpub.com/hm-ui/latest/HmSetup.zip?version=1.8.2

linux-amd64版:http://dl.shellpub.com/hm/latest/hm-linux-amd64.tgz?version=1.8.2

linux-386版:http://dl.shellpub.com/hm/latest/hm-linux-386.tgz?version=1.8.2

 

CloudWalker(牧云)

CloudWalker(牧云)是长亭推出的一款开源服务器安全管理平台。根据项目计划会逐步覆盖服务器资产管理、威胁扫描、Webshell扫描查杀、基线检测等各项功能。

8款热门WebShell查杀扫描检测工具,附下载地址插图

本次开源作为开源计划的第一步,仅包含 Webshell 检测引擎部分,重点调优 Webshell扫描检测效果。目前放出的是一个可执行的命令行版本 Webshell 检测工具,目前,项目已停止更新。

兼容性:提供 Linux版本,Windows 暂不支持。

在线查杀:https://webshellchop.chaitin.cn/

下载地址:https://github.com/chaitin/cloudwalker

 

Web Shell Detector

php/python 脚本,可帮助您查找和识别 php/cgi(perl)/asp/aspx shell。Web Shell Detector 有一个“web shell”签名数据库,可帮助识别高达 99% 的“web shell”。保护您的服务器免受黑客攻击。

8款热门WebShell查杀扫描检测工具,附下载地址插图
  • 我们的签名数据库有助于识别高达 99% 的“web shell”
  • 借助现代技术和最新的 javascript 和 css,web shell 检测器具有轻量级和友好的界面。

下载地址:http://www.shelldetector.com/

在线webshell查杀-灭绝师太版

通过对流行webshell和后门的代码特征快速定位出文件是否是木马文件,目前只针对PHP文件代码检测,其他类型的语言,暂时不支持

8款热门WebShell查杀扫描检测工具,附下载地址插图

在线查杀地址:http://tools.bugscaner.com/killwebshell/

 

PHP Malware Finder

PHP Malware FinderPHP 恶意软件查找器是一款优秀的检测webshell和恶意软件混淆代码的工具,PHP Malware Finder会尽最大程度检测混淆/不可靠的代码,以及使用恶意软件/网络外壳中经常使用的PHP函数的文件。

还检测到以下编码器/混淆器/网络外壳列表:

Bantam
Best PHP Obfuscator
Carbylamine
Cipher Design
Cyklodev
Joes Web Tools Obfuscator
P.A.S
PHP Jiami
Php Obfuscator Encode
SpinObf
Weevely3
atomiku
cobra obfuscator
nano
novahot
phpencode
tennc
web-malware-collection
webtoolsvn

兼容性:提供Linux 版本,Windows 暂不支持。

下载地址:https://github.com/jvoisin/php-malware-finder

 

发表评论

后才能评论