安骑士自主研发的网站后门查杀引擎,采用“本地查杀 + 云查杀”体系,拥有定时查杀和实时防护扫描策略,支持检测常见的 PHP、JSP 等后门文件类型,并提供一键隔离功能。



注意: 安骑士企业版提供网站后门文件检测和处理功能;基本版不支持。

安骑士通过检测您服务器上的 Web 目录中的文件,判断是否为 Webshell 网站后门文件。如果发现您的服务器存在网站后门文件,安骑士将会触发告警信息。

注意: 您可在 服务器安全(安骑士)管理控制台 > 设置 > 告警设置 中,选择 “木马查杀-发现后门” 通知项目的告警方式(可配置为短信、邮件、及站内信方式,默认通过全部方式进行告警)。

检测周期

安骑士网站后门检测采用动态检测及静态检测两种方式。

默认情况下,安骑士对所有防护的服务器开启静态检测。

  • 动态检测: 一旦 Web 目录中的文件发生变动,安骑士将扫描针变动的内容执行即时动态检测。
  • 静态检测: 每天凌晨,安骑士扫描整个 Web 目录执行静态检测。

对服务器开启网站后门文件周期检测参见操作步骤4

检测范围

安骑士自动扫描并添加您服务器中的Web目录作为网站后门的检测范围。

您也可以在安骑士控制台手动添加需要检测的Web目录,详情参见操作步骤5

注意:出于性能效率考虑,不支持直接添加root目录作为Web目录。

操作步骤

  1. 登录 服务器安全(安骑士)管理控制台

  2. 定位到 入侵检测 > 网站后门,查看您的安骑士已防护的服务器上发现的网站后门文件记录。



  3. 对发现的网站后门文件进行隔离恢复忽略


    隔离忽略
    • 隔离: 对发现的网站后门文件进行隔离操作,支持批量处理。
    • 恢复: 如果错误隔离了某些文件,您可以单击 恢复,将此文件从隔离区中恢复出来。
    • 忽略: 忽略该后门文件后,安骑士将不再对此文件提示风险告警。

    注意

    安骑士不会直接删除您服务器上的网站后门文件,只会将该文件转移到隔离区。在您确认该文件为信任文件后可通过恢复功能将该文件恢复,安骑士将不再对此文件进行告警。

    隔离区可阻止其它任何程序访问隔离区内的文件,不会对服务器造成威胁。

  4. 定位到 设置 > 安全设置 > 木马查杀 页面,单击 周期检查Web目录 选项右侧的 管理 添加/删除需要开启周期检测Web目录的服务器。


    开启定期检测Web目录
  5. 定位到 入侵检测 > 网站后门 页面,单击右上角 网站后门设置,手动添加/删除需要检测的Web目录。


    网站后门设置
    • 添加:在网站后门设置页面单击右上角添加,输入需要进行网站后门检测的Web目录路径、并勾选需要添加应用的服务器,单击确定,将该Web目录添加到网站后门检测范围内。
      添加web目录路径
    • 删除:在网站后门设置页面勾选无需进行Web目录检测的文件路径,单击左下角的删除,对该目录取消网站后门检测。

注意

建议对所有Web目录文件开启网站后门检测。