WEBSHELL查杀教程

Windows下查杀

D盾

选择网站所在文件夹,点击开始扫描

河马查杀

添加扫描路径(网站所在文件夹):

Linux下查杀

WebShellKiller

下载WebShellKiller（没联网的手动复制到Linux服务器下）：

wget http://edr.sangfor.com.cn/tool/WebShellKillerForLinux.tar.gz

手动复制查杀工具到Linux服务器

Windows下浏览器打开http://edr.sangfor.com.cn/backdoor_detection.html

点击红框部分下载，下载完成后使用winscp工具将查杀工具copy到Linux服务器下

Winscp工具使用方法

端口号账号密码跟ssh的端口号账户密码一致

选择是

连接成功后界面如下：

文件复制操作：

从左侧本机选中webshell查杀工具，拖动到右侧即可

复制完成后，关闭scp，我们回到ssh会话下。

解压到当前目录：

tar -zxf WebShellKillerForLinux.tar.gz

查看解压结果：

ls

可以看到多出centos_32、centos_64、linux_64三个文件夹

如果是centos 32/redhat 32那就使用centos_32，如果是centos 64/redhat 64那就使用centos_64，如果是其他linux 64那就使用linux_64

查看当前操作系统命令与位数：

查看版本

cat /etc/system-release

查看位数

uname -m

本次所使用的是centos64位所以我进入cd centos_64/wscan_app/文件夹下

添加执行权限：

Wscan当前没有可执行权限，需要加上

chmod +x wscan

加上之后ls 发现变绿了 说明就有了可执行权限

加载so文件：

wscan从LD_LIBRARY_PATH加载so文件，需要将当前路径加到LD_LIBRARY_PATH以使wscan能找到当前目录下的so

export LD_LIBRARY_PATH=`pwd`:$LD_LIBRARY_PATH

运行wscan:

./wscan

此时已经可以正常运行了。

进行webshell查杀

./wscan -hrf /root/webshelltest/ (目录替换成网站所在路径)

查看结果发现两处webshell。Over！

番外操作

条件可以的话，建议把Linux服务器下的网站目录copy至Windows下进行查杀，效果更佳。

打开IIS管理器，找到HTTP响应标头

删除就好了

或者第二种方法

在网站的 web.config 中配置：

<httpRuntime enableVersionHeader="false" />
重启下IIS就好了

方法一：

这里我们要用到微软官方出品的辅助工具UrlScan，下载地址：https://www.microsoft.com/en-us/search/DownloadResults.aspx?q=URLScan 根据自己的系统版本下载。我的是64位系统，我就下载了64位的版本

正常的安装完之后
在系统的整个目录下可以找到C:\Windows\System32\inetsrv\urlscan

文件简介：
log：日志目录，开启日志记录功能，会在此目录下生成日志文件；
urlscan.dll：动态连接库文件；
urlscan.ini：软件配置文件（待会我们就要修改这个）

正常来说，安装完urlscanIIS就会自动给加载了，没有的话就重启下IIS，检查一下IIS是否集成了，如下图操作：


有如图选中这一条数目，说明安装成功
修改配置文件UrlScan.ini

把RemoveServerHeader=1 ; 若为1,则移除IIS的server标头(默认为0)
修改完重启IIS就能看到效果了

20190337更新 方法二：

如果是生产环境，上面原本就有装urlscan 2.0 如果按照上述方法安装3.1版本的话，会导致一些奇怪问题，网站访问正常，但是文章图片就无法显示，附件也无法下载，别问我怎么知道的，因为都是故事。
修改urlscan2.0 配置文件位置在：
C:\Windows\System32\inetsrv\config\applicationHost.config

配置必须写在system.webServer节点内 ，测试发现放在下正常，放在其他的位置，要么就是500错误，要么就是不生效

访问测试地址，返回值已经不显示版本信息了

登录openvas时发现提示 Login failed. Waitingfor OMP service to become available
ps一下发现是openvas-manager服务没开,于是启动一下服务
/etc/init.d/openvas-manager start
好了，就这么简单。。。

今天刚装完一个测试服务器，发现不能联网， 习惯性ping一下百度发现显示未知主机

猜测可能是DNS服务器没有配置好，于是ping IP 试试

返回正常，说明真的是DNS服务器没配置好.

发现7系列跟6系列的centos命令改动的还是蛮多的
先说新的命令

1、使用全新的命令行工具 nmcli 来设置

显示当前网络连接

#nmcli connection show

修改当前网络连接对应的DNS服务器，这里的网络连接可以用名称或者UUID来标识

#nmcli con mod eno16777728 ipv4.dns "114.114.114.114"
我的名称是：eno16777728 具体以实际为准

将dns配置生效

#nmcli con up eno16777728

2、使用传统方法，手工修改 /etc/resolv.conf

修改 /etc/NetworkManager/NetworkManager.conf 文件，在main部分添加 “dns=none” 选项：

plugins=ifcfg-rh
dns=none
NetworkManager重新装载上面修改的配置
# systemctl restart NetworkManager.service
手工修改 /etc/resolv.conf
nameserver 114.114.114.114

网络已经正常了

原则上是那个简单用哪个啦，推荐还是用第一种新的方法

打开“软件和更新”应用
点按“更新”标签
找到标题为“通知我新的Ubuntu版本”的部分
将“For long-term support versions”设置为“For any new version”
点击“关闭”

关闭后重新打开“软件和更新”应用，系统就会检测到新版本，然后就按照提示更新就好了

cURL是一个利用URL语法在命令行下工作的文件传输工具，1997年首次发行。它支持文件上传和下载，所以是综合传输工具，但按传统，习惯称cURL为下载工具。cURL还包含了用于程序开发的libcurl。

这里我不介绍其他的详细使用方法，仅介绍怎么使用curl来验证 不安全的http方法

漏洞名称：

　　启用了不安全的HTTP方法

安全风险：

  可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。

可能原因：

  Web 服务器或应用程序服务器是以不安全的方式配置的。

修订建议：

  如果服务器不需要支持WebDAV，请务必禁用它，或禁止不必要的HTTP 方法。

验证方法

命令行下输入
curl -v -X OPTIONS http://192.168.1.5

这里就能看出该web服务器开启了那些方法了

命令介绍

-X/--request [command> | 指定什么命令
- -v | 显示请求详细信息
OPTIONS方法用于描述目标资源的通信选项

参考链接：

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Methods
http://man.linuxde.net/curl

sudo apt-get -y install python-gevent python-pip

sudo pip install shadowsocks

sudo apt-get -y install python-m2crypto

报错的话

python -m pip install --upgrade --force pip

重启

pip install setuptools
pip install shadowsocks

在生产环境下，我们一般都会把线上的DEBUG关闭，只有在程序的测试环境才会打开，但是只靠开发人员的是远远不够的，必须在程序的源头上进行关闭。

因为线上即有使用.net 2.0的环境也有使用.net 4.0环境，因此这次就有2个地方进行关闭。

打开文件C:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\machine.config

下找到<system.web>下增加

<deployment retail="true" />

也相应的把C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config

这个文件里也添加到相应的位置即可。

原文：http://blog.51cto.com/fengwan/1721732

tar
解包：tar xvf FileName.tar
打包：tar cvf FileName.tar DirName
（注：tar是打包，不是压缩！）
———————————————
.gz
解压1：gunzip FileName.gz
解压2：gzip -d FileName.gz
压缩：gzip FileName
.tar.gz
解压：tar zxvf FileName.tar.gz
压缩：tar zcvf FileName.tar.gz DirName
———————————————
.bz2
解压1：bzip2 -d FileName.bz2
解压2：bunzip2 FileName.bz2
压缩： bzip2 -z FileName
.tar.bz2
解压：tar jxvf FileName.tar.bz2
压缩：tar jcvf FileName.tar.bz2 DirName
———————————————
.bz
解压1：bzip2 -d FileName.bz
解压2：`bunzip2 FileName.bz
.tar.bz`
解压：tar jxvf FileName.tar.bz
———————————————
.Z
解压：uncompress FileName.Z
压缩：compress FileName
.tar.Z
解压：tar Zxvf FileName.tar.Z
压缩：tar Zcvf FileName.tar.Z DirName
———————————————
.tgz

解压：tar zxvf FileName.tgz

.tar.tgz
解压：tar zxvf FileName.tar.tgz
压缩：tar zcvf FileName.tar.tgz FileName
———————————————
.zip
解压：unzip FileName.zip
压缩：zip FileName.zip DirName
———————————————
.rar
解压：rar a FileName.rar
压缩：rar e FileName.rar
———————————————
.lha
解压：lha -e FileName.lha
压缩：lha -a FileName.lha FileName

ZIP
zip可能是目前使用得最多的文档压缩格式。它最大的优点就是在不同的操作系统平台，比如Linux， Windows以及MacOS，上使用。缺点就是支持的压缩率不是很高，而tar.gz和tar.gz2在压缩率方面做得非常好。闲话少说，我们步入正题吧：
我们可以使用下列的命令压缩一个目录：
# zip -r archive_name.zip directory_to_compress

下面是如果解压一个zip文档：
# unzip archive_name.zip

TAR
Tar是在Linux中使用得非常广泛的文档打包格式。它的好处就是它只消耗非常少的CPU以及时间去打包文件，他仅仅只是一个打包工具，并不负责压缩。下面是如何打包一个目录：
# tar -cvf archive_name.tar directory_to_compress

如何解包：
# tar -xvf archive_name.tar.gz

上面这个解包命令将会将文档解开在当前目录下面。当然，你也可以用这个命令来捏住解包的路径：
# tar -xvf archive_name.tar -C /tmp/extract_here/

TAR.GZ
这种格式是我使用得最多的压缩格式。它在压缩时不会占用太多CPU的，而且可以得到一个非常理想的压缩率。使用下面这种格式去压缩一个目录：
# tar -zcvf archive_name.tar.gz directory_to_compress

解压缩：
# tar -zxvf archive_name.tar.gz

上面这个解包命令将会将文档解开在当前目录下面。当然，你也可以用这个命令来捏住解包的路径：
# tar -zxvf archive_name.tar.gz -C /tmp/extract_here/

TAR.BZ2
这种压缩格式是我们提到的所有方式中压缩率最好的。当然，这也就意味着，它比前面的方式要占用更多的CPU与时间。这个就是你如何使用tar.bz2进行压缩。
# tar -jcvf archive_name.tar.bz2 directory_to_compress

上面这个解包命令将会将文档解开在当前目录下面。当然，你也可以用这个命令来捏住解包的路径：
# tar -jxvf archive_name.tar.bz2 -C /tmp/extract_here/

来源：https://blog.csdn.net/yangjin_unique/article/details/7824852