如何使用Web Shell Detector识别和检测站点中的可疑Shell脚本
字数 1400 2025-08-11 17:40:17

Web Shell Detector 使用指南:识别和检测站点中的可疑Shell脚本

一、工具概述

Web Shell Detector 是一款功能强大的 PHP 脚本工具,专门用于识别、检测和发现目标站点中的可疑 Shell 脚本,包括:

  • PHP Shell
  • CGI (PERL) Shell
  • ASP Shell
  • ASPX Shell

主要特点

  • 提供 Web Shell 签名数据库,可识别约 99% 的已知 Web Shell
  • 采用最新 JavaScript 和 CSS 技术实现友好的用户界面
  • 轻量级设计
  • 当前版本支持检测 604 种已知 Shell

二、系统要求

  • PHP 5.x 或更高版本
  • OpenSSL(用于安全文件上传功能)

三、安装步骤

  1. 使用 Git 克隆项目到本地:

    git clone https://github.com/emposha/PHP-Shell-Detector.git

  2. 将以下两个文件上传到服务器根目录:

    • shelldetect.php
    • shelldetect.db

四、基本使用方法

  1. 在浏览器中访问 shelldetect.php 文件

  2. 使用默认凭据登录:

    • 用户名:admin
    • 密码:password

  3. 检查工具标记为可疑的文件

  4. 对于可疑文件:

    • 可提交到 http://www.shelldetector.com 进行检测
    • 确认是恶意 Shell 后,使用 FTP/SSH 客户端从服务器删除
    • 注意:某些 Shell 可能集成到系统文件中,删除需谨慎

五、配置选项详解

选项名称 功能描述
extension 指定要扫描的文件扩展名
showlinenumbers 显示可疑函数使用的代码行号
dateformat 设置访问时间和修改时间的显示格式
language 切换界面语言
directory 指定要扫描的目录
task 执行不同的扫描任务
report_format 设置输出报告的文件格式
filelimit 设置扫描的最大文件数量
useget 激活 _GET 变量接收任务
authentication 启用用户名/密码保护脚本
remotefingerprint 远程获取 Shell 签名

六、高级使用技巧

  1. 自定义扫描

    • 通过 directory 参数指定特定目录进行扫描
    • 使用 extension 参数限定只扫描特定扩展名的文件

  2. 报告生成

    • 使用 report_format 选择报告输出格式
    • 可结合 dateformat 在报告中显示文件时间信息

  3. 安全增强

    • 启用 authentication 防止未授权访问
    • 定期更新 shelldetect.db 获取最新 Shell 签名

  4. 批量扫描

    • 通过 filelimit 控制每次扫描的文件数量
    • 使用 task 参数执行不同类型的扫描任务

七、在线资源

八、注意事项

  1. 删除检测到的 Shell 前务必确认其性质
  2. 定期更新工具以获取最新的 Shell 签名数据库
  3. 对生产环境扫描时,建议先在小范围测试
  4. 启用身份验证防止工具本身被滥用

九、许可证

本项目遵循 MIT 开源许可证协议。

Web Shell Detector 使用指南:识别和检测站点中的可疑Shell脚本 一、工具概述 Web Shell Detector 是一款功能强大的 PHP 脚本工具,专门用于识别、检测和发现目标站点中的可疑 Shell 脚本,包括: PHP Shell CGI (PERL) Shell ASP Shell ASPX Shell 主要特点 提供 Web Shell 签名数据库,可识别约 99% 的已知 Web Shell 采用最新 JavaScript 和 CSS 技术实现友好的用户界面 轻量级设计 当前版本支持检测 604 种已知 Shell 二、系统要求 PHP 5.x 或更高版本 OpenSSL(用于安全文件上传功能) 三、安装步骤 使用 Git 克隆项目到本地: 将以下两个文件上传到服务器根目录: shelldetect.php shelldetect.db 四、基本使用方法 在浏览器中访问 shelldetect.php 文件 使用默认凭据登录: 用户名: admin 密码: password 检查工具标记为可疑的文件 对于可疑文件: 可提交到 http://www.shelldetector.com 进行检测 确认是恶意 Shell 后,使用 FTP/SSH 客户端从服务器删除 注意 :某些 Shell 可能集成到系统文件中,删除需谨慎 五、配置选项详解 | 选项名称 | 功能描述 | |---------|---------| | extension | 指定要扫描的文件扩展名 | | showlinenumbers | 显示可疑函数使用的代码行号 | | dateformat | 设置访问时间和修改时间的显示格式 | | language | 切换界面语言 | | directory | 指定要扫描的目录 | | task | 执行不同的扫描任务 | | report_ format | 设置输出报告的文件格式 | | filelimit | 设置扫描的最大文件数量 | | useget | 激活 _ GET 变量接收任务 | | authentication | 启用用户名/密码保护脚本 | | remotefingerprint | 远程获取 Shell 签名 | 六、高级使用技巧 自定义扫描 : 通过 directory 参数指定特定目录进行扫描 使用 extension 参数限定只扫描特定扩展名的文件 报告生成 : 使用 report_format 选择报告输出格式 可结合 dateformat 在报告中显示文件时间信息 安全增强 : 启用 authentication 防止未授权访问 定期更新 shelldetect.db 获取最新 Shell 签名 批量扫描 : 通过 filelimit 控制每次扫描的文件数量 使用 task 参数执行不同类型的扫描任务 七、在线资源 在线演示: Web Shell Detector 在线版 项目地址: GitHub 仓库 八、注意事项 删除检测到的 Shell 前务必确认其性质 定期更新工具以获取最新的 Shell 签名数据库 对生产环境扫描时,建议先在小范围测试 启用身份验证防止工具本身被滥用 九、许可证 本项目遵循 MIT 开源许可证协议。