本文介绍了护卫神、360文档卫士、UltraReplace三种安全工具的使用方法,用于快速查找挂马文件、防止再次挂马、批量清理木马,是清理Windows云服务器挂马文件的必备工具软件。
目录
护卫神快速查找挂马文件
在云服务器上访问:https://www.hws.com/soft/kill/ ,点击立即下载,下载后解压运行,界面如下图所示。
选择“自定义查杀”,选择站点所在路径 ,如下图 D:\wwwroot\testweb\wwwroot ,点击 “开始扫描”。
若存在异常挂马文件,则在下图列表会显示具体的文件名和挂马类型等信息,双击条目可查看具体挂马内容。
另外,点击相关条目鼠标右键 ,参考下图可“打开文件路径”,“打开日志”以log格式文件查看操作记录,在确认为异常文件后可直接删除异常文件。
至此通过护卫神 - 云查杀工具扫描并清理异常文件流程结束,但护卫神并不能百分之百查到所有的挂马文件和内容,并不代表所有的挂马内容已清理。清理挂马文件后,也并不表示网站就彻底安全了,需联系程序开发人员核查程序漏洞进行修复,或下载最新版程序升级以提高程序安全。
360文档卫士防止再次挂马
360文档卫士下载地址:http://weishi.360.cn/wendangweishi.html,下载安装后程序运行界面如下图。
假如我们通过护卫神云查杀工具扫描出来php后缀的挂马文件。打开360文档卫士,点击设置 ,在自定义规则中添加 *.php 后缀格式 ,点击保存 。
如下图,监控到在 5月14日下午13:50 再次生成了一个Trojan.php文件 ,准确定位到了文件路径、文件名称以及创建时间 ,可直接删除掉异常文件 ,使站点恢复到之前的状态;也可通过生成时间,对站点日志进行核实,看相关时间段访问的php文件,以协助找到后门文件 。
UltraReplace批量清理木马
百度搜索UltraReplace,下载相关软件后运行,如下图。点击菜单栏中的配置,全选所有文件类型,或者根据自己的需求选择部分,如php、asp。
若替换单个文件,点击+文件,若是要批量替换某个目录下的字符串,则点击+文件夹。
选择目录后,注意中间的选项。
点击开始即可执行替换,以下是替换成功与否的结果。
也有一些挂马是有特征的。以某一代码开始,另一代码结束,中间挂的连接是随机的,可用"特征替换"功能。
