安骑士自主研发的网站后门查杀引擎,采用“本地查杀 + 云查杀”体系,拥有定时查杀和实时防护扫描策略,支持检测常见的 PHP、JSP 等后门文件类型,并提供一键隔离功能。
注意: 安骑士企业版提供网站后门文件检测和处理功能;基本版不支持。
安骑士通过检测您服务器上的 Web 目录中的文件,判断是否为 Webshell 网站后门文件。如果发现您的服务器存在网站后门文件,安骑士将会触发告警信息。
注意: 您可在 服务器安全(安骑士)管理控制台 > 设置 > 告警设置 中,选择 “木马查杀-发现后门” 通知项目的告警方式(可配置为短信、邮件、及站内信方式,默认通过全部方式进行告警)。
检测周期
安骑士网站后门检测采用动态检测及静态检测两种方式。
默认情况下,安骑士对所有防护的服务器开启静态检测。
- 动态检测: 一旦 Web 目录中的文件发生变动,安骑士将扫描针变动的内容执行即时动态检测。
- 静态检测: 每天凌晨,安骑士扫描整个 Web 目录执行静态检测。
对服务器开启网站后门文件周期检测参见操作步骤4。
检测范围
安骑士自动扫描并添加您服务器中的Web目录作为网站后门的检测范围。
您也可以在安骑士控制台手动添加需要检测的Web目录,详情参见操作步骤5。
注意:出于性能效率考虑,不支持直接添加root目录作为Web目录。
操作步骤
-
登录 服务器安全(安骑士)管理控制台。
-
定位到 入侵检测 > 网站后门,查看您的安骑士已防护的服务器上发现的网站后门文件记录。
-
对发现的网站后门文件进行隔离、恢复或忽略。
- 隔离: 对发现的网站后门文件进行隔离操作,支持批量处理。
- 恢复: 如果错误隔离了某些文件,您可以单击 恢复,将此文件从隔离区中恢复出来。
- 忽略: 忽略该后门文件后,安骑士将不再对此文件提示风险告警。
注意:
安骑士不会直接删除您服务器上的网站后门文件,只会将该文件转移到隔离区。在您确认该文件为信任文件后可通过恢复功能将该文件恢复,安骑士将不再对此文件进行告警。
隔离区可阻止其它任何程序访问隔离区内的文件,不会对服务器造成威胁。
-
定位到 设置 > 安全设置 > 木马查杀 页面,单击 周期检查Web目录 选项右侧的 管理 添加/删除需要开启周期检测Web目录的服务器。
-
定位到 入侵检测 > 网站后门 页面,单击右上角 网站后门设置,手动添加/删除需要检测的Web目录。
- 添加:在网站后门设置页面单击右上角添加,输入需要进行网站后门检测的Web目录路径、并勾选需要添加应用的服务器,单击确定,将该Web目录添加到网站后门检测范围内。
- 删除:在网站后门设置页面勾选无需进行Web目录检测的文件路径,单击左下角的删除,对该目录取消网站后门检测。
- 添加:在网站后门设置页面单击右上角添加,输入需要进行网站后门检测的Web目录路径、并勾选需要添加应用的服务器,单击确定,将该Web目录添加到网站后门检测范围内。
注意:
建议对所有Web目录文件开启网站后门检测。