D盾防火墻下載|D盾Web掃描查殺工具 V2.1.5.4官方版

D盾防火墻是專為IIS設(shè)計的一個主動防御的保護軟件，可以實現(xiàn)webshellkill功能，以內(nèi)外保護的方式 防止網(wǎng)站和服務(wù)器給入侵，免費攔截各種來自網(wǎng)絡(luò)的攻擊，在正常運行各類網(wǎng)站的情況下，越少的功能，服務(wù)器越安全的理念而設(shè)計！ 限制了常見的入侵方法，讓服務(wù)器更安全!

D盾防火墻軟件功能

目錄限制

有效防止入侵者通過腳本上傳危險程序或代碼,讓服務(wù)運行于安全狀態(tài)。

執(zhí)行限制

防范入侵者執(zhí)行危險程序，防范提權(quán)的發(fā)生。

網(wǎng)絡(luò)限制

禁止腳本連接本機的危險端口，如常見的Serv-U提權(quán)端口，防范通過第三方軟件的網(wǎng)絡(luò)端口進行提 權(quán)

禁止UDP向外發(fā)送，可有效防范UDP的DDOS攻擊，如PHPDDOS等，有效限制網(wǎng)絡(luò)帶寬給惡意占用

組件限制

禁止危險的組件,讓服務(wù)器更安全。

.net安全

去除 .net 一些危險基因，讓服務(wù)器更安全！

注入防御

防范因網(wǎng)站有注入問題導(dǎo)致服務(wù)器給入侵。

3389防御

防范黑客未經(jīng)許可登陸你的3389，讓服務(wù)器更安全!

防CC攻擊

讓網(wǎng)站免受CC攻擊困擾！

禁止下載某文件類型

防止不該給下載的文件給下載,防止信息外露！

允許執(zhí)行的腳本擴展名

有效的防止未經(jīng)允許的擴展名腳本惡意執(zhí)行,如：CER,CDX 等擴展名的木馬。或是 /1.asp/1.gif 等會執(zhí)行的情況

禁止如下目錄執(zhí)行腳本

防止圖片和上傳等可寫目錄執(zhí)行腳本

防范工具掃描網(wǎng)站目錄和文件信息

讓入侵者不容易知道你的網(wǎng)站結(jié)構(gòu)

防范MSSQL數(shù)據(jù)庫錯誤信息反饋暴露表或數(shù)據(jù)信息

防范信息暴露。

軟件安裝教程

1.安裝與使用

請解壓全部文件到指定目錄，如C盤或D盤 例如:d:\d_safe 之后運行 "D_Safe_Manage.exe" D盾程序,如果你的是IIS網(wǎng)站環(huán)境,請點擊“選項”頁里點擊按鈕“安裝[D盾]保護”,進行安裝，安裝時需要管理員權(quán)限.如果你的電腦不是IIS的網(wǎng)站環(huán)境，無需安裝保護,可當(dāng)web查殺軟件使用。

安裝保護后，狀態(tài)顯示

2.誤攔的處理

當(dāng)有誤攔時，請到D盾的"記錄"里查看，雙擊誤攔記錄，會彈出加白的窗口，之后點擊 [加入“白名單”]即可放行。

3.移除與卸載

如果你安裝過保護，會在開始菜單中生成快捷方式，你可以點擊“開始\所有程序\D盾防火墻\卸載_D盾”卸載軟件。也可以在 "控制面板\程序和功能"里找到“D盾防火墻”進行卸載。

如果你只是解壓使用，直接刪除D盾相關(guān)目錄的文件即可。

D盾查殺之前先確保規(guī)則庫是最新的，可以查殺最新的webshell后門。

軟件使用教程

1、下載并且解壓安裝文件，部分電腦殺毒軟件會報毒，這是正?，F(xiàn)象

2、選擇網(wǎng)站根目錄進行webshell查殺

一般來說，如果是做web應(yīng)急處置的，時間比較充足的話建議掃描全部站點，對這個磁盤進行掃描時間會比較長，但是更全面。如果是防火墻上架或者是客戶已經(jīng)指定目錄的可以點擊自定義掃描，具體操作如下：

第一步，點擊自定義掃描

第二步，選擇網(wǎng)站根目錄（根據(jù)你的實際情況）

第三步，確認后就開始掃描了，底部會顯示掃描進度，掃描后會顯示結(jié)果

3、后門確認與處置

掃描完成后會顯示哪些文件存在問題，如下圖：

說明：

1、顯示級別的數(shù)字越大，是木馬的可能性越大，即級別5大部分情況下都是木馬，級別1有一些敏感的參數(shù)或者函數(shù)不一定是木馬。

2、刪除后會的文件會進入隔離去（和殺毒軟件類似，可以在隔離區(qū)恢復(fù)）

注意：

1、對于說明中的第一點，即便是級別5的文件，建議每個文件去查看，如果自己不能確認可以讓客戶幫忙查看是否是業(yè)務(wù)系統(tǒng)文件，訪問是否正常，得到客戶確認才能刪除。所以備份非常重要：對于所有要刪除的文件刪除前一定要做好備份工作，備份文件名稱和文件所對應(yīng)的路徑，誤刪除可能會導(dǎo)致客戶業(yè)務(wù)系統(tǒng)異常。

2、在查殺的界面刪除后，文件會被放到隔離文件中，會在D盾同一個目錄下有文件生成，如果需要恢復(fù)，可以在隔離區(qū)中恢復(fù)文件。如下圖：

2、D盾的高級使用功能

2.1 端口及進程查看

1）端口查看

D盾可以查看系統(tǒng)上端口開放和連接建立的情況，在排查勒索病毒的時候可以查看如3389、135、445端口有沒有對外開放，如下圖：

2）進程查看

進程查看中可以看到當(dāng)前正常運行的進程，而且在每個進程下面都可以看到加載的dll文件，可以作為輔助。

2.2 克隆賬號檢測

克隆賬號檢測需要以管理員身份運行D盾，如下圖，右鍵以管理員身份運行：

點擊【工具】【克隆賬號檢測】可以查看是否被黑客新建了用戶，如下圖：

3、文件監(jiān)控

文件監(jiān)控是D盾工具的優(yōu)勢功能，一般的webshell查殺工具不會有，他可以監(jiān)控目錄下文件的變化情況，這種場景在暫時沒有日志或者是暫時沒有發(fā)現(xiàn)黑客的web入侵途徑時比較有用，操作也比較簡單。

第一步：把需要監(jiān)控的目錄寫到監(jiān)控目錄欄目中并啟動監(jiān)控，如下圖：

注意：需要監(jiān)控的擴展過濾可以根據(jù)自己的需要手工添加，一般默認即可。

第二步：在監(jiān)控目錄下面修改文件

第三步：在文件監(jiān)控中查看

開啟文件監(jiān)控可以在安全日志不全或者POST記錄缺失的情況下部分還原攻擊者的攻擊路徑，對于排查問題有一定幫助。

更新日志

D盾_Web查殺v2.1.5.4 更新
1.修正用戶反饋的一些問題 (v2.1.5.3 的用戶請升級)。
2.加處 phar:// 檢測，防范觸發(fā)式后門的加載。
3.修正 v2.1.5.3 中某些機器上隨機性php的500錯誤(v2.1.5.3 的用戶請升級)。
4.針對phpStudy某些PHP版本中的 php_xmlrpc.dll 中的后門識別，并自動免疫處理(建意使用phpStudy的用戶升級)。