设为首页收藏本站 开启辅助访问
搜索
    查看: 12700|回复: 4

    网站安全狗网马查杀功能及设置解析

    [复制链接]
    发表于 2011-12-21 09:33:06 | 显示全部楼层 |阅读模式
    所有官方发布的教程帖子,均附带有图片,请大家先注册论坛帐号之后浏览相关帖子,谢谢支持~

    说明:这次我们使用1台网站服务器进行测试,IP192.168.73.129,服务器内架设基本的网站,架构模式为windows2003+iis+asp+access,内装有我们的网站安全狗(这里我们用虚拟机进行模拟)。对这台服务器进行网页挂马和在网站空间内存放网马使这个网站空间不能正常运营。

    那何为网马?何为挂马呢?这个大家应该会有所了解,但是有的人还是会把二者等同对待,这里就给大家稍微介绍下。所谓挂马就是黑客通过各种手段直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时,你就会自动的访问被转向的地址或者下载木马病毒。而网马通俗点说就是在网页中植入木马,你打开网页就运行了木马程序,使你在不知不觉中中毒。

    挂马和制作网马的过程我们就不多加说明了。被入侵的网站通过我们的网站安全狗就可以扫描出挂马和空间内网马的信息,如图所示:

    1.jpg
    图表 1.网页挂马查杀结果

    2.jpg
    图表 2.网马查杀结果

    从扫描进度来看,我们的网站空间存在着可疑网马,用户可以筛选确定是否是自己的友情链接或者是本身空间内的文件并且可以添加进白名单(后面会介绍到)避免下次扫描的误判那我们是怎么查杀出这些网马和挂马的呢?这里就要介绍下我们的网页木马扫描这个模块了,如下图所示:

    3.jpg
    图表 3.网页木马扫描

    网页木马扫描可以分为全站扫描和自定义扫描,全站扫描是指点击“全站扫描”对IIS服务器上的所有站点,包括运行中和未运行的站点进行扫描。目前支持第一级的虚拟目录。如下图所示:

    4.jpg
    图表 4.全站扫描

    另外的扫描方式就是自定义扫描,所谓自定义扫描就是网站安全狗扫描IIS上的所有的站点,然后用户可以手动进行设置自己需要扫描的网站。如下图:

    5.jpg
    图表 5.自定义扫描


    我们可以通过界面上的设置来选择适合自己网站空间的策略,如图所示:

    6.jpg
    图表 6.规则设置

    设置选项分为策略目标文件隔离三类。策略上设置的是扫描时候所需扫描的选项,如可以设置扫描网页木马,扫描网页挂马和扫描可疑的网马。设置好后在右下角保存即可,如下图所示:

    7.jpg
    图表 7.规则策略

    目标文件主要用于设置扫描的目标文件大小和文件类型。“最大目标文件大小”指的是网站空间内的网页文件大小,可以设置扫描所有文件,我们已经有针对现有的所有文件类型进行了整合,当然用户也可以自行添加一些别的目标文件扩展名进行扫描,设置好同样进行保存即可,如图所示:

    8.jpg
    图表 8.目标文件设置

    隔离中可以设置隔离区的路径,方便用户误判后可以及时找到隔离后的文件进行恢复,并且可以设置自动隔离一般的网页木马,这种网页木马通常是网络上比较常见,比较典型的,同时不要忘了设置好后记得保存哦!如下图所示:

    9.jpg
    图表 9.隔离路径设置

    我们在新版本中已经添加了自定义白名单,可以进行更人性化的设置,用户常常反应有些自己做的外链和友情链接被网站安全狗误判为挂马,那就可以将这些误判为挂马的网站名添加到白名单内,如下图所示:

    10.jpg
    图表 10.白名单设置

    和众多杀毒软件一样,我们的网站安全狗同样有设置扫描进度,用户可以实时查看扫描的情况,如果安全狗扫描出挂马和网马的话就可以在扫描进度内查看到文件的名称,类别,文本,描述和隔离情况,并且对扫描结果进行处理,如下图所示:

    11.jpg
    图表 11.扫描进度

    在网页木马扫描的界面上可以查看每次扫描后的历史纪录方便用户对网站情况进行查询,同时可以清除没用的历史纪录。如下图所示:

    12.jpg
    图表 12.查杀历史记录

    在我们技术支持的同时,发现用户因误判隔离了文件而找不到地方进行恢复,其实我们在网页木马扫描界面上已经有设置隔离文件的模块,这样就方便用户进行恢复而不需要再去文件夹内一个一个的找。具体的方法如下图所示:

    13.jpg
    图表 13.隔离文件

    最后要提到的是我们与用户进行互动的形式,网络上信息日新月异,网马也是形形色色,网站安全已经是现在大家较为关注的,用户通过上报网马可以将网络上一些最新的网马提交给我们进行筛选,我们会将这些最新网马添加到我们的网马库同时用来保护大家的网站。

    14.jpg
    图表 14.网马上报
    回复

    使用道具 举报

    发表于 2013-4-23 15:13:04 | 显示全部楼层
    请教下,同样的百度联盟代码,在DZ建的论坛里未报网页挂马,而在帝国CMS建的站却报出二万多网页挂马,而且删除后,这些广告就不显示啦,这是不是误报?
    回复 支持 1 反对 0

    使用道具 举报

    发表于 2012-2-12 18:51:40 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    发表于 2012-4-3 16:04:59 | 显示全部楼层
    好东东。等下试试。。。。。。。。。
    回复 支持 反对

    使用道具 举报

    发表于 2013-2-8 11:53:55 | 显示全部楼层

    支持一下嘛

    支持一下嘛!!!!!!!!!



    (;  ;   )
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    QQ|小黑屋|Archiver|手机版|安全狗论坛-汇聚安全的力量 ( 闽ICP备14014139号-1  

    GMT+8, 2017-11-20 05:20 , Processed in 0.152957 second(s), 24 queries .

    Powered by Discuz! X3.2

    © 2001-2013 Comsenz Inc.

    快速回复 返回顶部 返回列表