蓝队 发表于 2017-2-27 20:54:08

网站安全狗网马查杀功能及设置解析

说明:这次我们使用1台网站服务器进行测试,IP为192.168.73.129,服务器内架设基本的网站,架构模式为windows2003+iis+asp+access,内装有我们的网站安全狗(这里我们用虚拟机进行模拟)。对这台服务器进行网页挂马和在网站空间内存放网马使这个网站空间不能正常运营。
那何为网马?何为挂马呢?这个大家应该会有所了解,但是有的人还是会把二者等同对待,这里就给大家稍微介绍下。所谓挂马就是黑客通过各种手段直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时,你就会自动的访问被转向的地址或者下载木马病毒。而网马通俗点说就是在网页中植入木马,你打开网页就运行了木马程序,使你在不知不觉中中毒。
挂马和制作网马的过程我们就不多加说明了。被入侵的网站通过我们的网站安全狗就可以扫描出挂马和空间内网马的信息,如图所示:
http://bbs.safedog.cn/data/attachment/forum/201112/21/092500t8bvt5fjf4f49vck.jpg图表 1.网页挂马查杀结果
http://bbs.safedog.cn/data/attachment/forum/201112/21/092501hddd8x8szjoobhqz.jpg图表 2.网马查杀结果
从扫描进度来看,我们的网站空间存在着可疑网马,用户可以筛选确定是否是自己的友情链接或者是本身空间内的文件并且可以添加进白名单(后面会介绍到)避免下次扫描的误判,那我们是怎么查杀出这些网马和挂马的呢?这里就要介绍下我们的网页木马扫描这个模块了,如下图所示:
http://bbs.safedog.cn/data/attachment/forum/201112/21/0925017sxzxyxsjqs2jq29.jpg图表 3.网页木马扫描
网页木马扫描可以分为全站扫描和自定义扫描,全站扫描是指点击“全站扫描”对IIS服务器上的所有站点,包括运行中和未运行的站点进行扫描。目前支持第一级的虚拟目录。如下图所示:
http://bbs.safedog.cn/data/attachment/forum/201112/21/092501la8tlltq8ll9ty65.jpg图表 4.全站扫描
另外的扫描方式就是自定义扫描,所谓自定义扫描就是网站安全狗扫描IIS上的所有的站点,然后用户可以手动进行设置自己需要扫描的网站。如下图:
http://bbs.safedog.cn/data/attachment/forum/201112/21/092501k6km23u3gmf5p6j3.jpg图表 5.自定义扫描

我们可以通过界面上的设置来选择适合自己网站空间的策略,如图所示:
http://bbs.safedog.cn/data/attachment/forum/201112/21/092501hn22i2u6zakh64na.jpg图表 6.规则设置
设置选项分为“策略”、“目标文件”、“隔离”三类。策略上设置的是扫描时候所需扫描的选项,如可以设置扫描网页木马,扫描网页挂马和扫描可疑的网马。设置好后在右下角保存即可,如下图所示:
http://bbs.safedog.cn/data/attachment/forum/201112/21/092501kddabaszvdc1mfc2.jpg图表 7.规则策略
“目标文件”主要用于设置扫描的目标文件大小和文件类型。“最大目标文件大小”指的是网站空间内的网页文件大小,可以设置扫描所有文件,我们已经有针对现有的所有文件类型进行了整合,当然用户也可以自行添加一些别的目标文件扩展名进行扫描,设置好同样进行保存即可,如图所示:
http://bbs.safedog.cn/data/attachment/forum/201112/21/0925013qeewkmm44v44m74.jpg图表 8.目标文件设置
“隔离”中可以设置隔离区的路径,方便用户误判后可以及时找到隔离后的文件进行恢复,并且可以设置自动隔离一般的网页木马,这种网页木马通常是网络上比较常见,比较典型的,同时不要忘了设置好后记得保存哦!如下图所示:
http://bbs.safedog.cn/data/attachment/forum/201112/21/092733fvqv6f9kffkjxxpj.jpg图表 9.隔离路径设置
我们在新版本中已经添加了自定义白名单,可以进行更人性化的设置,用户常常反应有些自己做的外链和友情链接被网站安全狗误判为挂马,那就可以将这些误判为挂马的网站名添加到白名单内,如下图所示:
http://bbs.safedog.cn/data/attachment/forum/201112/21/092502rze9v24vqdph4vtt.jpg图表 10.白名单设置
和众多杀毒软件一样,我们的网站安全狗同样有设置扫描进度,用户可以实时查看扫描的情况,如果安全狗扫描出挂马和网马的话就可以在扫描进度内查看到文件的名称,类别,文本,描述和隔离情况,并且对扫描结果进行处理,如下图所示:

http://bbs.safedog.cn/data/attachment/forum/201112/21/092502uauusbkj2h9aszut.jpg图表 11.扫描进度

在网页木马扫描的界面上可以查看每次扫描后的历史纪录方便用户对网站情况进行查询,同时可以清除没用的历史纪录。如下图所示:

http://bbs.safedog.cn/data/attachment/forum/201112/21/092502rw42vr3gr2g188e4.jpg图表 12.查杀历史记录

在我们技术支持的同时,发现用户因误判隔离了文件而找不到地方进行恢复,其实我们在网页木马扫描界面上已经有设置隔离文件的模块,这样就方便用户进行恢复而不需要再去文件夹内一个一个的找。具体的方法如下图所示:

http://bbs.safedog.cn/data/attachment/forum/201112/21/092502ch8qbf3dhqsehheb.jpg图表 13.隔离文件

最后要提到的是我们与用户进行互动的形式,网络上信息日新月异,网马也是形形色色,网站安全已经是现在大家较为关注的,用户通过上报网马可以将网络上一些最新的网马提交给我们进行筛选,我们会将这些最新网马添加到我们的网马库同时用来保护大家的网站。

http://bbs.safedog.cn/data/attachment/forum/201112/21/092500g3ygnww37h3wmnhg.jpg图表 14.网马上报
页: [1]
查看完整版本: 网站安全狗网马查杀功能及设置解析