WEBSHELL查杀教程

Windows下查杀

D盾

选择网站所在文件夹,点击开始扫描

河马查杀

添加扫描路径(网站所在文件夹):

Linux下查杀

WebShellKiller

下载WebShellKiller（没联网的手动复制到Linux服务器下）：

wget http://edr.sangfor.com.cn/tool/WebShellKillerForLinux.tar.gz

手动复制查杀工具到Linux服务器

Windows下浏览器打开http://edr.sangfor.com.cn/backdoor_detection.html

点击红框部分下载，下载完成后使用winscp工具将查杀工具copy到Linux服务器下

Winscp工具使用方法

端口号账号密码跟ssh的端口号账户密码一致

选择是

连接成功后界面如下：

文件复制操作：

从左侧本机选中webshell查杀工具，拖动到右侧即可

复制完成后，关闭scp，我们回到ssh会话下。

解压到当前目录：

tar -zxf WebShellKillerForLinux.tar.gz

查看解压结果：

ls

可以看到多出centos_32、centos_64、linux_64三个文件夹

如果是centos 32/redhat 32那就使用centos_32，如果是centos 64/redhat 64那就使用centos_64，如果是其他linux 64那就使用linux_64

查看当前操作系统命令与位数：

查看版本

cat /etc/system-release

查看位数

uname -m

本次所使用的是centos64位所以我进入cd centos_64/wscan_app/文件夹下

添加执行权限：

Wscan当前没有可执行权限，需要加上

chmod +x wscan

加上之后ls 发现变绿了 说明就有了可执行权限

加载so文件：

wscan从LD_LIBRARY_PATH加载so文件，需要将当前路径加到LD_LIBRARY_PATH以使wscan能找到当前目录下的so

export LD_LIBRARY_PATH=`pwd`:$LD_LIBRARY_PATH

运行wscan:

./wscan

此时已经可以正常运行了。

进行webshell查杀

./wscan -hrf /root/webshelltest/ (目录替换成网站所在路径)

查看结果发现两处webshell。Over！

番外操作

条件可以的话，建议把Linux服务器下的网站目录copy至Windows下进行查杀，效果更佳。

打开IIS管理器，找到HTTP响应标头

删除就好了

或者第二种方法

在网站的 web.config 中配置：

<httpRuntime enableVersionHeader="false" />
重启下IIS就好了

方法一：

这里我们要用到微软官方出品的辅助工具UrlScan，下载地址：https://www.microsoft.com/en-us/search/DownloadResults.aspx?q=URLScan 根据自己的系统版本下载。我的是64位系统，我就下载了64位的版本

正常的安装完之后
在系统的整个目录下可以找到C:\Windows\System32\inetsrv\urlscan

文件简介：
log：日志目录，开启日志记录功能，会在此目录下生成日志文件；
urlscan.dll：动态连接库文件；
urlscan.ini：软件配置文件（待会我们就要修改这个）

正常来说，安装完urlscanIIS就会自动给加载了，没有的话就重启下IIS，检查一下IIS是否集成了，如下图操作：


有如图选中这一条数目，说明安装成功
修改配置文件UrlScan.ini

把RemoveServerHeader=1 ; 若为1,则移除IIS的server标头(默认为0)
修改完重启IIS就能看到效果了

20190337更新 方法二：

如果是生产环境，上面原本就有装urlscan 2.0 如果按照上述方法安装3.1版本的话，会导致一些奇怪问题，网站访问正常，但是文章图片就无法显示，附件也无法下载，别问我怎么知道的，因为都是故事。
修改urlscan2.0 配置文件位置在：
C:\Windows\System32\inetsrv\config\applicationHost.config

配置必须写在system.webServer节点内 ，测试发现放在下正常，放在其他的位置，要么就是500错误，要么就是不生效

访问测试地址，返回值已经不显示版本信息了

登录openvas时发现提示 Login failed. Waitingfor OMP service to become available
ps一下发现是openvas-manager服务没开,于是启动一下服务
/etc/init.d/openvas-manager start
好了，就这么简单。。。

今天刚装完一个测试服务器，发现不能联网， 习惯性ping一下百度发现显示未知主机

猜测可能是DNS服务器没有配置好，于是ping IP 试试

返回正常，说明真的是DNS服务器没配置好.

发现7系列跟6系列的centos命令改动的还是蛮多的
先说新的命令

1、使用全新的命令行工具 nmcli 来设置

显示当前网络连接

#nmcli connection show

修改当前网络连接对应的DNS服务器，这里的网络连接可以用名称或者UUID来标识

#nmcli con mod eno16777728 ipv4.dns "114.114.114.114"
我的名称是：eno16777728 具体以实际为准

将dns配置生效

#nmcli con up eno16777728

2、使用传统方法，手工修改 /etc/resolv.conf

修改 /etc/NetworkManager/NetworkManager.conf 文件，在main部分添加 “dns=none” 选项：

plugins=ifcfg-rh
dns=none
NetworkManager重新装载上面修改的配置
# systemctl restart NetworkManager.service
手工修改 /etc/resolv.conf
nameserver 114.114.114.114

网络已经正常了

原则上是那个简单用哪个啦，推荐还是用第一种新的方法

打开“软件和更新”应用
点按“更新”标签
找到标题为“通知我新的Ubuntu版本”的部分
将“For long-term support versions”设置为“For any new version”
点击“关闭”

关闭后重新打开“软件和更新”应用，系统就会检测到新版本，然后就按照提示更新就好了