文章261
标签214
分类4

Windows下和Linux下Webshell查杀

WEBSHELL查杀教程

Windows下查杀

D盾

1057884-70b732cb67fb0d64.png

选择网站所在文件夹,点击开始扫描

1057884-471a6853703d97ce.png

河马查杀

1057884-9572abb288b91ba3.png

添加扫描路径(网站所在文件夹):

1057884-70e8b4f6aaae9bd2.png

Linux下查杀

WebShellKiller

下载WebShellKiller(没联网的手动复制到Linux服务器下):

wget http://edr.sangfor.com.cn/tool/WebShellKillerForLinux.tar.gz

1057884-2dd91f59d4e08862.png

手动复制查杀工具到Linux服务器

Windows下浏览器打开http://edr.sangfor.com.cn/backdoor_detection.html

1057884-66100c831d5474db.png

点击红框部分下载,下载完成后使用winscp工具将查杀工具copy到Linux服务器下

Winscp工具使用方法

端口号账号密码跟ssh的端口号账户密码一致

1057884-07bd066770d4a0ec.png

选择是

1057884-de45810fe5c86455.png

连接成功后界面如下:

1057884-f2a569bbb16cf15d.png

文件复制操作:

从左侧本机选中webshell查杀工具,拖动到右侧即可

1057884-ebcdfae4eb6441a8.png

复制完成后,关闭scp,我们回到ssh会话下。

解压到当前目录:

tar -zxf WebShellKillerForLinux.tar.gz

1057884-ce798e00ca82d50a.png

查看解压结果:

ls

可以看到多出centos_32、centos_64、linux_64三个文件夹

如果是centos 32/redhat 32那就使用centos_32,如果是centos 64/redhat 64那就使用centos_64,如果是其他linux 64那就使用linux_64

1057884-54a18faf163e20b7.png

查看当前操作系统命令与位数:

查看版本

cat /etc/system-release

1057884-0479971f8636943e.png

查看位数

uname -m
1057884-32db3a2b50d3cf38.png

本次所使用的是centos64位所以我进入cd centos_64/wscan_app/文件夹下

1057884-343043ce1380f1ad.png

添加执行权限:

Wscan当前没有可执行权限,需要加上

chmod +x wscan

1057884-9103ad394e9fe220.png

加上之后ls 发现变绿了 说明就有了可执行权限

加载so文件:

wscan从LD_LIBRARY_PATH加载so文件,需要将当前路径加到LD_LIBRARY_PATH以使wscan能找到当前目录下的so

export LD_LIBRARY_PATH=`pwd`:$LD_LIBRARY_PATH
1057884-53ccbe1a3882bf98.png

运行wscan:

./wscan

1057884-0fea778c09677d50.png

此时已经可以正常运行了。

进行webshell查杀

./wscan -hrf /root/webshelltest/ (目录替换成网站所在路径)

1057884-64ffcab67ac3177e.png

查看结果发现两处webshell。Over!

番外操作

条件可以的话,建议把Linux服务器下的网站目录copy至Windows下进行查杀,效果更佳。

如何去除IIS X-Powered-By: ASP.NET 头

1057884-3ffabed96544522d.png
打开IIS管理器,找到HTTP响应标头
1057884-2f4617a809ba96e3.png
删除就好了
1057884-a8b3a1a52ca87ec4.png
或者第二种方法

在网站的 web.config 中配置:

<httpRuntime enableVersionHeader="false" />
重启下IIS就好了

如何去除IIS Server: Microsoft-IIS/7.5 头

方法一:

1057884-b7047486dd0996fd.png
这里我们要用到微软官方出品的辅助工具UrlScan,下载地址:https://www.microsoft.com/en-us/search/DownloadResults.aspx?q=URLScan 根据自己的系统版本下载。我的是64位系统,我就下载了64位的版本
1057884-42d71cb167250782.png
正常的安装完之后
在系统的整个目录下可以找到C:\Windows\System32\inetsrv\urlscan
1057884-f0502e5a424edcb5.png

文件简介:
log:日志目录,开启日志记录功能,会在此目录下生成日志文件;
urlscan.dll:动态连接库文件;
urlscan.ini:软件配置文件(待会我们就要修改这个)

正常来说,安装完urlscanIIS就会自动给加载了,没有的话就重启下IIS,检查一下IIS是否集成了,如下图操作:
1057884-adfee5d80656f858.png
1057884-c31b995c6d5f94cd.png
有如图选中这一条数目,说明安装成功
修改配置文件UrlScan.ini
1057884-6959f2afc1f46066.png
把RemoveServerHeader=1 ; 若为1,则移除IIS的server标头(默认为0)
修改完重启IIS就能看到效果了
1057884-17c0c4dd46f7aa67.png

20190337更新 方法二:

如果是生产环境,上面原本就有装urlscan 2.0 如果按照上述方法安装3.1版本的话,会导致一些奇怪问题,网站访问正常,但是文章图片就无法显示,附件也无法下载,别问我怎么知道的,因为都是故事。
修改urlscan2.0 配置文件位置在:
C:\Windows\System32\inetsrv\config\applicationHost.config
1057884-199e754f7796e1e8.png
配置必须写在system.webServer节点内 ,测试发现放在下正常,放在其他的位置,要么就是500错误,要么就是不生效
![image.png](https://upload-images.jianshu.io/upload_images/1057884-63110c29946a14d2.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)
访问测试地址,返回值已经不显示版本信息了
1057884-170576ded68e1c38.png

openvas登录时出现Login failed. Waiting for OMP service to become available.

登录openvas时发现提示 Login failed. Waitingfor OMP service to become available
ps一下发现是openvas-manager服务没开,于是启动一下服务
/etc/init.d/openvas-manager start
好了,就这么简单。。。
1057884-070f449fad38c9b6.png

CentOS 7 下,如何设置DNS服务器

今天刚装完一个测试服务器,发现不能联网, 习惯性ping一下百度发现显示未知主机
1057884-e2932ae465922845.png
猜测可能是DNS服务器没有配置好,于是ping IP 试试
1057884-b351b1ce2f8747c0.png
返回正常,说明真的是DNS服务器没配置好.

发现7系列跟6系列的centos命令改动的还是蛮多的
先说新的命令

1、使用全新的命令行工具 nmcli 来设置

显示当前网络连接

#nmcli connection show

1057884-bdc82635c8cc67cd.png

修改当前网络连接对应的DNS服务器,这里的网络连接可以用名称或者UUID来标识

#nmcli con mod eno16777728 ipv4.dns "114.114.114.114"
我的名称是:eno16777728 具体以实际为准

将dns配置生效

#nmcli con up eno16777728

2、使用传统方法,手工修改 /etc/resolv.conf

修改 /etc/NetworkManager/NetworkManager.conf 文件,在main部分添加 “dns=none” 选项:

plugins=ifcfg-rh
dns=none
NetworkManager重新装载上面修改的配置
# systemctl restart NetworkManager.service
手工修改 /etc/resolv.conf
nameserver 114.114.114.114

网络已经正常了

1057884-c18ff15cb4324c37.png

原则上是那个简单用哪个啦,推荐还是用第一种新的方法

如何从ubuntu 18.04 LTS升级到Ubuntu 18.10

打开“软件和更新”应用
点按“更新”标签
找到标题为“通知我新的Ubuntu版本”的部分
将“For long-term support versions”设置为“For any new version”
点击“关闭”

1057884-8dc7cf8165c54202.png
关闭后重新打开“软件和更新”应用,系统就会检测到新版本,然后就按照提示更新就好了
1057884-f8a43775964e503f.png