安骑士自主研发的网站后门查杀引擎,采用“本地查杀 + 云查杀”体系,拥有定时查杀和实时防护扫描策略,支持检测常见的 PHP、JSP 等后门文件类型,并提供一键隔离功能。
注意: 安骑士基础版只提供网站后门文件检测功能;隔离、恢复功能需要您升级到安骑士专业版或企业版才能使用。
安骑士通过检测您服务器上的 Web 目录中的文件,判断是否为 Webshell 木马文件。如果发现您的服务器存在网站后门文件,将会触发告警信息。
注意: 您可在 服务器安全(安骑士)管理控制台 > 设置 > 告警设置 中,选择 “木马查杀-发现后门” 通知项目的告警方式(可配置为短信、邮件、及站内信方式,默认通过全部方式进行告警)。
安骑士网站后门检测采用动态检测及静态检测两种方式:
1)动态检测: 一旦 Web 目录中的文件发生变动,安骑士将会针对变动的内容进行动态检测。
2)静态检测: 每天凌晨,安骑士将会扫描整个 Web 目录进行静态检测。
注意: 您可在 服务器安全(安骑士)管理控制台 > 设置 > 安全设置 中的 木马查杀 区域,单击 周期检查Web目录 选项右侧的 管理 设置需要进行静态检测的服务器。默认情况下,安骑士防护的所有服务器均开启静态检测。
安骑士自动扫描并添加您服务器中的Web目录作为网站后门的检测范围,您也可以在 服务器安全(安骑士)管理控制台 > 入侵检测 > 网站后面 页面,单击网站后门设置,手动添加需要检测的Web目录。
注意:出于性能效率考虑,不支持直接添加root目录作为Web目录。
1. 登录 服务器安全(安骑士)管理控制台。
2. 定位到 事件 > 网站后门,查看您的安骑士已防护的服务器上发现的网站后门文件记录。
3. 对发现的木马文件进行处理。
1)隔离: 对发现的木马文件进行隔离操作,支持批量处理。
2)恢复: 如果错误隔离了某些文件,您可以单击 恢复,将此文件恢复。
3)忽略: 忽略该木马文件后,安骑士将不再对此文件提示风险告警。
注意: 安骑士不会将您服务器上的木马文件直接删除,只会将该文件转移到隔离区,在您确认该文件为信任文件后可通过恢复功能将该文件恢复,并且安骑士将不再对此文件进行告警。