5.2 清理网页木马

通常判断网页木马的方法有以下几种。这些方法的使用不是固定的，需要根据具体的场景，选择最合适的组合，以达到高效而不漏判误判的效果：

• 特殊的文件名模式：如明显偏离原有命名模式的脚本类型文件，如diy.aspx、hacker.php、1.asp;.gif、spy.jsp等，为高度可疑的网页木马；
• 较新的文件产生时间：如整个目录下的文件创建时间均为一年前，此时出现零星的创建时间非常近期的脚本型文件则为高度可疑的网页木马文件；
• 特殊的文件属性：如文件被设置为隐藏属性、只读属性等，也是高度可疑的标志；
• 访问日志里特别的Post操作：可以通过检查Web服务器的访问日志，配合grep（Linux系统）和findstr（Windows系统）的参数组合，过滤出特定时间段所有的Post操作，根据时间段、具体URL、提交参数、访问者IP等多项组合，判断是否为可疑的木马文件；
• 文件内容：查看网页文件的内容，如果为全文加密、过多超高权限的操作组合（可以操作文件、数据库、命令行等）、包含了一个额外的特殊文件（可以为本地或远程），都表明该文件可能是网页木马。

iGuardV5自带一个基本功能的网页木马检查工具（Webshell tool）。该工具为命令行方式，可协助检查指定目录内，是否有可疑的网页木马文件。但需要注意的是，这个工具只是一种辅助手段，它检查的结果需要再做人工甄别，才能避免出现误判。也就是说，该工具依然是自动检查+人工判断的综合。

5.2.1 Windows系统检查Webshell

在同步服务器端，执行cmd返回命令行方式。再输入以下命令：

cd C:\Tercel\iGuard5\igdagent\plugin\tools\bin
lua scanner.lua [网页目录] [ .|php|asp|aspx|jsp]

如：

#对c:\webroot下的文件做全类型网页木马检查（请注意命令里最后一个“.”点号字符）
lua scanner.lua c:\webroot .
#对c:\apache\htdocs下的文件做php类型网页木马检查
lua scanner.lua c:\apache\htdocs php

如下图例子中，执行以后得到5个可疑文件列表：

这个工具仅是帮助使用者缩小检查的范围，所以排查出来的这5个可疑文件仍需要人工验证，也就是需要使用文本工具，打开这些文件，查看具体代码，确定它们是否为Webshell。

5.2.2 Linux 系统检查Webshell

在同步服务器端，输入以下命令：

cd /usr/local/iguard5/igdagent/plugin/tools/
./lua scanner.lua [网页目录] [ .|php|asp|aspx|jsp]

如：

#对/usr/local/apache2/htdocs下的文件做全类型网页木马检查（请注意命令里最后一个.点号字符）
./lua scanner.lua /usr/local/apache2/htdocs .
#对/usr/local/tomcat/webapps下的文件做jsp类型网页木马检查
./lua scanner.lua /usr/local/tomcat/webapps jsp

如下图例子中，执行以后得到1个可疑文件列表：

但仍需要手工用文本编辑器查看该文件，确认是否为有害的Webshell。