WEBSHELL查杀教程

Windows下查杀

D盾

image.png

选择网站所在文件夹,点击开始扫描

image.png

河马查杀

image.png

添加扫描路径(网站所在文件夹):

image.png

Linux下查杀

WebShellKiller

下载WebShellKiller（没联网的手动复制到Linux服务器下）：

wget http://edr.sangfor.com.cn/tool/WebShellKillerForLinux.tar.gz

image.png

手动复制查杀工具到Linux服务器

Windows下浏览器打开http://edr.sangfor.com.cn/backdoor_detection.html

image.png

点击红框部分下载，下载完成后使用winscp工具将查杀工具copy到Linux服务器下

Winscp工具使用方法

端口号账号密码跟ssh的端口号账户密码一致

image.png

选择是

image.png

连接成功后界面如下：

image.png

文件复制操作：

从左侧本机选中webshell查杀工具，拖动到右侧即可

image.png

复制完成后，关闭scp，我们回到ssh会话下。

解压到当前目录：

tar -zxf WebShellKillerForLinux.tar.gz

image.png

查看解压结果：

ls

可以看到多出centos_32、centos_64、linux_64三个文件夹

如果是centos 32/redhat 32那就使用centos_32，如果是centos 64/redhat 64那就使用centos_64，如果是其他linux 64那就使用linux_64

image.png

查看当前操作系统命令与位数：

查看版本

cat /etc/system-release

image.png

查看位数

uname -m

image.png

本次所使用的是centos64位所以我进入cd centos_64/wscan_app/文件夹下

image.png

添加执行权限：

Wscan当前没有可执行权限，需要加上

chmod +x wscan

image.png

加上之后ls 发现变绿了 说明就有了可执行权限

加载so文件：

wscan从LD_LIBRARY_PATH加载so文件，需要将当前路径加到LD_LIBRARY_PATH以使wscan能找到当前目录下的so

export LD_LIBRARY_PATH=`pwd`:$LD_LIBRARY_PATH

image.png

运行wscan:

./wscan

image.png

此时已经可以正常运行了。

进行webshell查杀

./wscan -hrf /root/webshelltest/ (目录替换成网站所在路径)

image.png

查看结果发现两处webshell。Over！

番外操作

条件可以的话，建议把Linux服务器下的网站目录copy至Windows下进行查杀，效果更佳。