D盾防火墙下载|D盾Web扫描查杀工具 V2.1.5.4官方版下载
D盾防火墙是专为IIS设计的一个主动防御的保护软件,知识兔可以实现webshellkill功能,知识兔以内外保护的方式 防止网站和服务器给入侵,免费拦截各种来自网络的攻击,在正常运行各类网站的情况下,越少的功能,服务器越安全的理念而设计! 限制了常见的入侵方法,知识兔让服务器更安全!
D盾防火墙软件功能
目录限制
有效防止入侵者通过脚本上传危险程序或代码,让服务运行于安全状态。
执行限制
防范入侵者执行危险程序,防范提权的发生。
网络限制
禁止脚本连接本机的危险端口,如常见的Serv-U提权端口,防范通过第三方软件的网络端口进行提 权
禁止UDP向外发送,可有效防范UDP的DDOS攻击,如PHPDDOS等,有效限制网络带宽给恶意占用
组件限制
禁止危险的组件,让服务器更安全。
.net安全
去除 .net 一些危险基因,知识兔让服务器更安全!
注入防御
防范因网站有注入问题导致服务器给入侵。
3389防御
防范黑客未经许可登陆你的3389,知识兔让服务器更安全!
防CC攻击
让网站免受CC攻击困扰!
禁止下载某文件类型
防止不该给下载的文件给下载,防止信息外露!
允许执行的脚本扩展名
有效的防止未经允许的扩展名脚本恶意执行,如:CER,CDX 等扩展名的木马。或是 /1.asp/1.gif 等会执行的情况
禁止如下目录执行脚本
防止图片和上传等可写目录执行脚本
防范工具扫描网站目录和文件信息
让入侵者不容易知道你的网站结构
防范MSSQL数据库错误信息反馈暴露表或数据信息
防范信息暴露。
软件安装教程
1.安装与使用
请解压全部文件到指定目录,如C盘或D盘 例如:d:\d_safe 之后运行 “D_Safe_Manage.exe” D盾程序,如果知识兔你的是IIS网站环境,请知识兔点击“选项”页里知识兔点击按钮“安装[D盾]保护”,进行安装,安装时需要管理员权限.如果知识兔你的电脑不是IIS的网站环境,无需安装保护,可当web查杀软件使用。
安装保护后,状态显示
2.误拦的处理
当有误拦时,请到D盾的”记录”里查看,知识兔双击误拦记录,会弹出加白的窗口,之后知识兔点击 [加入“白名单”]即可放行。
3.移除与卸载
如果知识兔你安装过保护,会在开始菜单中生成快捷方式,你可以知识兔点击“开始\所有程序\D盾防火墙\卸载_D盾”卸载软件。也可以在 “控制面板\程序和功能”里找到“D盾防火墙”进行卸载。
如果知识兔你只是解压使用,直接删除D盾相关目录的文件即可。
D盾查杀之前先确保规则库是最新的,知识兔可以查杀最新的webshell后门。
软件使用教程
1、知识兔下载并且知识兔解压安装文件,部分电脑杀毒软件会报毒,这是正常现象
2、知识兔选择网站根目录进行webshell查杀
一般来说,如果知识兔是做web应急处置的,时间比较充足的话建议扫描全部站点,对这个磁盘进行扫描时间会比较长,但是更全面。如果知识兔是防火墙上架或者是客户已经指定目录的可以知识兔点击自定义扫描,具体操作如下:
第一步,知识兔点击自定义扫描
第二步,知识兔选择网站根目录(根据你的实际情况)
第三步,确认后就开始扫描了,底部会显示扫描进度,扫描后会显示结果
3、后门确认与处置
扫描完成后会显示哪些文件存在问题,如下图:
说明:
1、显示级别的数字越大,是木马的可能性越大,即级别5大部分情况下都是木马,级别1有一些敏感的参数或者函数不一定是木马。
2、删除后会的文件会进入隔离去(和杀毒软件类似,知识兔可以在隔离区恢复)
注意:
1、对于说明中的第一点,即便是级别5的文件,知识兔建议每个文件去查看,如果知识兔自己不能确认可以让客户帮忙查看是否是业务系统文件,访问是否正常,得到客户确认才能删除。所以备份非常重要:对于所有要删除的文件删除前一定要做好备份工作,备份文件名称和文件所对应的路径,误删除可能会导致客户业务系统异常。
2、在查杀的界面删除后,文件会被放到隔离文件中,会在D盾同一个目录下有文件生成,如果知识兔需要恢复,知识兔可以在隔离区中恢复文件。如下图:
2、D盾的高级使用功能
2.1 端口及进程查看
1)端口查看
D盾可以查看系统上端口开放和连接建立的情况,在排查勒索病毒的时候可以查看如3389、135、445端口有没有对外开放,如下图:
2)进程查看
进程查看中可以看到当前正常运行的进程,而且知识兔在每个进程下面都可以看到加载的dll文件,知识兔可以作为辅助。
2.2 克隆账号检测
克隆账号检测需要以管理员身份运行D盾,如下图,右键以管理员身份运行:
知识兔点击【工具】【克隆账号检测】可以查看是否被黑客新建了用户,如下图:
3、文件监控
文件监控是D盾工具的优势功能,一般的webshell查杀工具不会有,他可以监控目录下文件的变化情况,这种场景在暂时没有日志或者是暂时没有发现黑客的web入侵途径时比较有用,操作也比较简单。
第一步:把需要监控的目录写到监控目录栏目中并启动监控,如下图:
注意:需要监控的扩展过滤可以根据自己的需要手工添加,一般默认即可。
第二步:在监控目录下面修改文件
第三步:在文件监控中查看
开启文件监控可以在安全日志不全或者POST记录缺失的情况下部分还原攻击者的攻击路径,对于排查问题有一定帮助。
更新日志
D盾_Web查杀v2.1.5.4 更新
1.修正用户反馈的一些问题 (v2.1.5.3 的用户请升级)。
2.加处 phar:// 检测,防范触发式后门的加载。
3.修正 v2.1.5.3 中某些机器上随机性php的500错误(v2.1.5.3 的用户请升级)。
4.针对phpStudy某些PHP版本中的 php_xmlrpc.dll 中的后门识别,并自动免疫处理(建意使用phpStudy的用户升级)。
下载仅供下载体验和测试学习,不得商用和正当使用。