一、守护神可以快速找到挂马档(云服务器)
On云服务器,访问:https://www.hws.com/soft/kill/,点击下载软件,下载地址为:https://d.hws.com/free/HwsKill.zip,下载解压界面如下图所示:
选择“自定义杀熟”后,出现如下界面:
选择站点所在的路径,如下图D:\wwwroot\testweb\wwwroot,点击“开始扫描”。
如果有异常挂马文件,具体文件名和挂马类型会显示在下面的列表中。双击条目查看具体挂马内容:
另外,右键点击相关条目,参考下图“打开文件路径”和“打开日志”查看日志格式的操作记录,确认为异常文件后直接删除异常文件。
至此,通过卫士-云查杀工具扫描清理异常文件的过程结束,但是卫士找不到木马的所有文件和内容,并不代表木马的所有内容都被清理了。
清理文件或内容并不意味着网站完全安全。您需要联系程序开发人员检查程序漏洞并修复,或者下载最新版本的程序升级以提高程序安全性。
没有技术人员处理程序问题,也没有最新版本的程序可以下载,怎么办?下面,360文档卫士可以用来监控文件修改操作。
第二,360文档卫士监控文件修改,防止再次挂机。
360文件卫士下载地址:http://weishi.360.cn/wendangweishi.html.下载安装后,程序运行界面如下:
上一篇文章,用卫士神云查杀工具扫描了带php后缀的文件,打开了360文档卫士。单击设置以添加*。php后缀格式到下面界面中的用户自定义规则,点击保存。
如下图,Trojan.php的挂马文件被守护神扫描,于5月14日凌晨0点41分删除。
安装360 Document Guard后,请参见下图。监控到5月14日下午13: 50再次生成一个Trojan.php文件,并准确定位了文件强度、文件名和创建时间。您可以直接删除异常文件,将网站恢复到以前的状态。还可以通过生成时间验证站点日志,查看相关时间段内访问的php文件,帮助查找后门文件。
三、守护神远程检查木马文件(主要针对虚拟主机)
除了满足服务器的需求,监护人还可以填写如下图的ftp连接信息进行扫描虚拟主机。
选择远程查杀,点击“选择ftp”添加ftp链接信息:
如果扫描到异常文件,处理方法与之前的“自定义查杀”相同。