d盾webshell扫描工具

D盾web查杀工具是一款拥有源码后门查询分析的网络防护软件，可以实现webshellkill功能，让你免费拦截各种来自网络的攻击，帮你更好的防范来自互联网的病毒感染，更多webshell扫描器尽在极光下载站！

D盾最新版本介绍：

-D盾_防火墙-专为IIS设计的一个主动防御的保护软件,以内外保护的方式 防止网站和服务器给入侵,在正常运行各类网站的情 况下，越少的功能，服务器越安全的理念而设计！ 限制了常见的入侵方法，让服务器更安全!主动后门拦截,SESSION保护,防WEB嗅探,防CC,防篡改,注入防御,防XSS,防提权,上传防御,未知0day防御,异 形脚本防御等等。 防止黑客入侵和提权,让服务器更安全。

软件功能：

-目录限制-

有效防止入侵者通过脚本上传危险程序或代码,让服务运行于安全状态。

-执行限制-

防范入侵者执行危险程序，防范提权的发生。

-网络限制-

禁止脚本连接本机的危险端口，如常见的Serv-U提权端口，防范通过第三方软件的网络端口进行提 权

禁止UDP向外发送，可有效防范UDP的DDOS攻击，如PHPDDOS等，有效限制网络带宽给恶意占用

-组件限制-

禁止危险的组件,让服务器更安全。

-.net安全-

去除 .net 一些危险基因，让服务器更安全！

-注入防御-

防范因网站有注入问题导致服务器给入侵。

-3389防御-

防范黑客未经许可登陆你的3389，让服务器更安全!

-防CC攻击-

让网站免受CC攻击困扰！

-禁止下载某文件类型-

防止不该给下载的文件给下载,防止信息外露！

-允许执行的脚本扩展名-

有效的防止未经允许的扩展名脚本恶意执行,如：CER,CDX 等扩展名的木马。或是 /1.asp/1.gif 等会执行的情况

-禁止如下目录执行脚本-

防止图片和上传等可写目录执行脚本

-防范工具扫描网站目录和文件信息-

让入侵者不容易知道你的网站结构

-防范MSSQL数据库错误信息反馈暴露表或数据信息-

防范信息暴露。

安装教程：

1.安装与使用：

请解压全部文件到指定目录，如C盘或D盘 例如:d:d_safe 之后运行 &D_Safe_Manage.exe& D盾程序,如果你的是IIS网站环境,请点击“选项”页里点击按钮“安装[D盾]保护”,进行安装，安装时需要管理员权限.如果你的电脑不是IIS的网站环境，无需安装保护,可当web查杀软件使用。

安装保护后，状态显示

2.误拦的处理

当有误拦时，请到D盾的&记录&里查看，双击误拦记录，会弹出加白的窗口，之后点击 [加入“白名单”]即可放行。

3.移除与卸载

如果你安装过保护，会在开始菜单中生成快捷方式，你可以点击“开始所有程序D盾防火墙卸载_D盾”卸载软件。也可以在 &控制面板程序和功能&里找到“D盾防火墙”进行卸载。

如果你只是解压使用，直接删除D盾相关目录的文件即可。

D盾查杀之前先确保规则库是最新的，可以查杀最新的webshell后门。

第二步，选择网站根目录（根据你的实际情况）

第三步，确认后就开始扫描了，底部会显示扫描进度，扫描后会显示结果

1.3 后门确认与处置

扫描完成后会显示哪些文件存在问题，如下图：

说明：

1、显示级别的数字越大，是木马的可能性越大，即级别5大部分情况下都是木马，级别1有一些敏感的参数或者函数不一定是木马。

2、删除后会的文件会进入隔离去（和杀毒软件类似，可以在隔离区恢复）

注意：

1、对于说明中的第一点，即便是级别5的文件，建议每个文件去查看，如果自己不能确认可以让客户帮忙查看是否是业务系统文件，访问是否正常，得到客户确认才能删除。所以备份非常重要：对于所有要删除的文件删除前一定要做好备份工作，备份文件名称和文件所对应的路径，误删除可能会导致客户业务系统异常。

2、在查杀的界面删除后，文件会被放到隔离文件中，会在D盾同一个目录下有文件生成，如果需要恢复，可以在隔离区中恢复文件。如下图：

2、D盾的高级使用功能

2.1 端口及进程查看

1）端口查看

D盾可以查看系统上端口开放和连接建立的情况，在排查勒索病毒的时候可以查看如3389、135、445端口有没有对外开放，如下图：

2）进程查看

进程查看中可以看到当前正常运行的进程，而且在每个进程下面都可以看到加载的dll文件，可以作为辅助。

2.2 克隆账号检测

克隆账号检测需要以管理员身份运行D盾，如下图，右键以管理员身份运行：

点击【工具】【克隆账号检测】可以查看是否被黑客新建了用户，如下图：

3、文件监控

文件监控是D盾工具的优势功能，一般的webshell查杀工具不会有，他可以监控目录下文件的变化情况，这种场景在暂时没有日志或者是暂时没有发现黑客的web入侵途径时比较有用，操作也比较简单。

第一步：把需要监控的目录写到监控目录栏目中并启动监控，如下图：

注意：需要监控的扩展过滤可以根据自己的需要手工添加，一般默认即可。

第二步：在监控目录下面修改文件

第三步：在文件监控中查看

开启文件监控可以在安全日志不全或者POST记录缺失的情况下部分还原攻击者的攻击路径，对于排查问题有一定帮助。

更新通知：

v2.1.5.4 版本

1.修正用户反馈的一些问题 (v2.1.5.3 的用户请升级)。

2.加处 phar:// 检测，防范触发式后门的加载。

3.修正 v2.1.5.3 中某些机器上随机性php的500错误(v2.1.5.3 的用户请升级)。

4.针对phpStudy某些PHP版本中的 php_xmlrpc.dll 中的后门识别，并自动免疫处理(建意使用phpStudy的用户升级)。

v2.1.5.2版本

1.支持32位池保护64位的PHP （一直没有解决的问题，终于解决）

2.针对近期样本加强查杀识别。

3.加入 .net 中网站目录内的bin的编译放行，减少不必要的执行误拦。

4.解决某些服务器上加白无效的问题。

5.加强asp下的GET/POST检测识别。

6.修正cookie识别上的bug。

7.修正&3389防御&中某些服务器启用“禁止从本地登陆服务器”后，会自动断开没问题的连接的问题。

8.支持asp引用的安全性检测和加强PHP的引用非php扩展时的文件安全性。

9.加入一些API的内容检测。

10.加入POST时不认识的流数据的检测。

11.加严执行命令的检测。

12.修正用户反馈的一些问题。

13.修正mysql降权带空格目录时无法正常识别的BUG，针对mysql服务使用管理员帐号的情况下也能降权。

14.加入命令行查杀命令

v2.1.4.8版本

修正 win2012/win2016 32位池下不能正常使用的问题。

针对用户反馈的样本，加强查杀识别能力。

修正大量用户反馈的兼容问题，并能识别更多的环境信息，减少误拦。

减少POST提交的误拦问题。

修正32位池时的php5.6不能正常使用的问题。

记录支持多选，支持同时选择多行记录并复制出不一样的IP,方便用户操作。

加入“浏览器过滤”功能。

防CC加入更多选项。

修正因D盾记录数据库文件过大不能继续记录的问题，加入自动压缩数据库功能，防止记录文件过大。

v2.1.4.4 更新

1.修正 php5.3 的sql安全性检测无效的问题。

2.修正查杀的隔离文件，还原时会还原全部隔离文件的BUG。

3.修正win2016的组件保护失败问题。