说明

最近客户让对服务器上面的文件进行扫描，并提供了工具，特在此对该工具的安装及用法做个记录

WebShellKiller

简介

WebShellKiller是深信服发布的一款webshell查杀工具，支持jsp、asp、aspx、php等脚本的检查。

下载及更详细说明见链接：http://edr.sangfor.com.cn/backdoor_detection.html

由于不是商用产品也不是开源产品，所以不能保证其后续是否持续维护更新，但基于以下两点就算不再更新该产品还是比较可靠的。

首先，从当前效果看使用https://github.com/tennc/webshell.git webshell进行测试绝大部分都是能正确判断。

其次，身为webshell注定其最终必定要生成代码调用那些固定的危险函数，所以webshell的变形是有限制的，也就是所谓的“免杀”其实有比较高的门槛。

WebShellKiller支持windows和linux，我们这里只讲linux，windows直接解压双击运行没有什么操作性就不多讲了。

安装

# 下载
wget http://edr.sangfor.com.cn/tool/WebShellKillerForLinux.tar.gz

# 解压
tar -zxf WebShellKillerForLinux.tar.gz


# 如果是centos 32/redhat 32那就使用centos_32，如果是centos 64/redhat 64那就使用centos_64，如果是其他linux 64那就使用linux_64
ls


# 我是centos 64
cd centos_64/wscan_app/

# 查看当前目录文件，wscan是主程序
ls

运行

# wscan默认没有可执行权限，需要加上
chmod u+x wscan

# wscan从LD_LIBRARY_PATH加载so文件，需要将当前路径加到LD_LIBRARY_PATH以使wscan能找到当前目录下的so
export LD_LIBRARY_PATH=`pwd`:$LD_LIBRARY_PATH

# 被列出的文件即是被认为可疑的文件，人工识别是否为web应用自己所用文件即可
./wscan -hrf /web