官方简介:
专为IIS主动防御的保护软件,以内外保护的方式 防止网站和服务器给入侵,在正常运行各类网站的情 况下,越少的功能,服务器越安全的理念诞生! 限制了常见的入侵方法,让服务器更安全!
今天要介绍的D盾,是目前最为流行和好用的web查杀工具,同时使用也比较简单方便,在web应急处置的过程中经常会用到。安全工具平常我们可能用不上这个,提前了解有备无患。当发生问题的时候可以及时处理,未发生事情可以提前作预防。
下面介绍一下D盾的最常见功能,包括如下:
1、查杀webshell,隔离可疑文件;
2、端口进程查看、base64解码以及克隆账号检测等辅助工具;
3、文件监控。
其中第一个是D盾的主要功能,后面功能是D盾的辅助功能,但是在处理web甚至是病毒的过程中可能都会用到。
一,D盾基本使用步骤
首先自然是需要下载D盾工具了,官网地址:http://www.d99net.net/,下载免费版本即可。
1,更新规则库
D盾查杀之前先确保当前规则库是最新的,这样就可以查杀最新的webshell后门。
2,选择网站根目录进行webshell查杀
一般来说,如果做web应急处置,时间比较充足的话建议扫描全部站点,对这个磁盘进行扫描时间会比较长,但是更全面。
如果是防火墙上架或者是客户已经指定目录的可以点击自定义扫描,具体操作如下:
第一步,点击上图1的自定义扫描,
第二步,弹出框中,选择需要检测的网站根目录即可(根据你的实际情况)
第三步,确认后就开始扫描了,底部会显示扫描进度,扫描后会显示结果
3,后门确认与处置
上一步操作扫描完成后,会显示出哪些文件存在问题,如下图:
说明:
- 1、显示级别的数字越大,是木马的可能性越大,即级别5大部分情况下都是木马,级别1有一些敏感的参数或者函数不一定是木马。
- 2、删除后会的文件会进入隔离去(和杀毒软件类似,可以在隔离区恢复)
注意:
1、对于说明中的第一点,即便是级别5的文件,建议每个文件去查看,如果自己不能确认可以让客户帮忙查看是否是业务系统文件,访问是否正常,得到客户确认才能删除。
所以备份非常重要:对于所有要删除的文件删除前一定要做好备份工作,备份文件名称和文件所对应的路径,误删除可能会导致客户业务系统异常。
2、在查杀的界面删除后,文件会被放到隔离文件中,会在D盾同一个目录下有文件生成,如果需要恢复,可以在隔离区中恢复文件。
二,D盾高级扩展
1,端口及进程查看
端口查看:
D盾可以查看系统上端口开放和连接建立的情况,在排查勒索病毒的时候可以查看如3389、135、445端口有没有对外开放,如下图:
进程查看:
进程查看中可以看到当前正常运行的进程,而且在每个进程下面都可以看到加载的dll文件,可以作为辅助。
2,文件监控
文件监控是D盾工具的优势功能,一般的webshell查杀工具不会有,他可以监控目录下文件的变化情况,这种场景在暂时没有日志或者是暂时没有发现黑客的web入侵途径时比较有用,操作也比较简单。
第一步:把需要监控的目录写到监控目录栏目中并启动监控,如下图:
注意:需要监控的扩展过滤可以根据自己的需要手工添加,一般默认即可。
开启文件监控可以在安全日志不全或者POST记录缺失的情况下部分还原攻击者的攻击路径,对于排查问题有一定帮助。
本文就介绍就先到这里了,还有很多的功能,有兴趣的可自行前往文章中的官网详细了解,
暂无评论内容