如何查杀Webshell最有效

想必大家对Webshell不陌生吧，这是很让网站管理员头痛的玩意。一旦网站被植入了Webshell，那等同于小偷掌握了你家里的钥匙，可以随意进出，并且你还不知道。黑客可以通过Webshell篡改网页、篡改数据库、劫持网站、挂马、挂黑链、生成非法页面、窃取数据，危害性非常大。

 

网站出现webshell，大部分人的第一反应应该是赶紧杀掉这些Webshell。那今天我们就来分析一下如何查杀Webshell最有效。

 

首先，查杀Webshell需要杀毒引擎和病毒库，查杀效果则取决于病毒库。常用的杀毒软件（如WD、火绒、360等），虽然也能查杀部分webshell，但是他们不是专门查杀webshell用途， 因此与Webshell有关的病毒库就不是很丰富，查杀效果只能算一般吧！建议使用专业的webshell杀毒引擎，如：护卫神。

 

有了专业的杀毒引擎和病毒库，还需要从查杀机制上进行深入分析。常规的杀毒软件，只会在读取和写入文件时进行查杀。Webshell具有特殊性，是一个网页脚本，通过WebServer解析后的内容和源文件大不相同。而且还可以不断变种（对源码加密），一经变种后，由于病毒库没有新Webshell的特征码，就能轻松绕过杀毒引擎。因此一款优秀的webshell查杀软件，除了有丰富的病毒库，还需要能查杀不断变种后的新webshell。

 

《护卫神.防入侵系统》内置专业的Webshell查杀引擎，搭建有全球病毒监测网，自动收集各种webshell样本，查杀率高达99.9%。同时该系统具有多重查杀机制，上传时、保存时、访问时，都能进行查杀，不放过任何一个环节。

 

如下图一，《护卫神.防入侵系统》的“木马防护”模块专用于查杀webshell，只需要添加查杀目录（一般为网站目录），系统就会实时监控该目录下的所有文件，一旦发现webshell，立即查杀。

 

（图一：护卫神.防入侵系统专业查杀webshell）

 

 

如下图二，为了提升查杀效果，《护卫神.防入侵系统》还在WAF上增加了webshell查杀功能，对流入、流出服务器的数据（即上传时、访问时）进行查杀，让黑客无法将webshell上传到网站，即使变种webshell上传到了网站，也不能访问。

1	温馨提示：绝大部分杀毒软件都没有此功能！

 

 

（图二：护卫神.防入侵系统在WAF查杀webshell）

 

 

未开启WAF查杀木马时，变种木马可以访问，如下图三。

（图三：正常访问Webshell）

 

开启WAF查杀木马后，再访问该木马，会被拦截，如下图四。

 

（图四：访问Webshell被拦截）

 

大部分杀毒软件，都只在保存文件时进行查杀。由于webshell的特殊性，黑客可以轻松绕过，因此还需要在WAF层面进行查杀，尤其是对WebServer解析后的内容进行查杀，方可有效。如果你想从根源上杜绝wbeshell，可以试试《护卫神.防入侵系统》的“篡改防护”模块，保证让欣喜若狂！

 

原文：https://www.hws.com/help/tech/1874.html