很多網(wǎng)站用戶經(jīng)常發(fā)現(xiàn)網(wǎng)站被植入后門程序,,導致網(wǎng)站被黑客非法控制,、非法利用,甚至整臺服務器權限被控制。出現(xiàn)這種情況,,通過人工來排查,需要一定的技術能力和工作量,。因此需要一款強有力的掃描工具來幫助站長解決這個安全問題,。
目前,可以找到的掃描工具挺多,,那我們又該如何選擇最合適的掃描工具呢?最近,,筆者就選擇了兩款掃描工具進行對比,分別是360網(wǎng)馬掃描和網(wǎng)站安全狗網(wǎng)馬掃描,,從以下幾個方面的進行了評測:
操作的簡易程度
支持的網(wǎng)站數(shù)量
PHP后門的查殺率
其他腳本類型后門的查殺率
加密變形的WebShell,、變形的一句話木馬以及畸形目錄的查殺率
筆者通過對360網(wǎng)馬掃描和網(wǎng)站安全狗網(wǎng)馬掃描能力的測試,將所得到的測試結果供大家作為判斷兩者網(wǎng)馬掃描能力強弱的參考,。
參評軟件:360網(wǎng)站安全檢測,、網(wǎng)站安全狗
測試樣本:樣本均來自互聯(lián)網(wǎng)上流行的常見的WebShell(具體見評測數(shù)據(jù))
評測項目及評測數(shù)據(jù):
1、操作簡易程度:
360網(wǎng)站安全檢測的情況:
首 先說下360網(wǎng)站安全檢測,,需要先到360的webscan.#注冊一個帳號,,然后添加站點,。添加了站點,還要對站點進行管理員認證,,認證結束 后要下載一個php漏洞掃描文件到站點目錄下(目前360漏洞檢測只支持php的掃描),。我用一個花生殼的動態(tài)免費二級域名進行測試,發(fā)現(xiàn)這個二級域名在 360漏洞檢測無法添加,。通過咨詢客服,,了解到360網(wǎng)站安全檢測目前對二級域名和帶端口域名需要收費,不提供免費的服務,。
網(wǎng)站安全狗的情況:
網(wǎng)站安全狗倒簡單了,,直接在服務器上安裝網(wǎng)站安全狗,即可支持自定義路徑掃描,、自定義網(wǎng)站,、全站掃描等多功能檢測。
2,、支持的網(wǎng)站數(shù)量:
360安全檢測的情況:
360多站點掃描功能,,要掃描幾個站點就要添加幾個站點認證,每個站點都要下載一個php的后門漏洞掃描文件,,不支持任意掃描等用戶自主簡潔的操作掃描方式,。
網(wǎng)站安全狗的情況:
網(wǎng)站安全狗采用一鍵安裝,掃描覆蓋面是自由選取,,什么站點都任意掃描,,自定義站點、自定義路徑,,全站掃描,。
3、PHP后門的查殺率:
樣本情況:100個樣本文件,,96個網(wǎng)頁后面,,4個普通文件;
360網(wǎng)站安全檢測的情況:
(點圖看大圖)
網(wǎng)站安全狗的情況:
(點圖看大圖)
對比結果:
同一個目錄下的php網(wǎng)頁后門,網(wǎng)站安全狗的查殺率為100%,,360網(wǎng)站安全檢測的查殺率不到10%,。圖上框起來的網(wǎng)頁后門文件,大家注意到,,網(wǎng)站安全狗對網(wǎng)頁后門的描述更加準確,。
4,、其他腳本類型的查殺率:
樣本情況:3個,。NET樣本,5個PHP樣本(部分修改了后綴名),,2個JSP樣本;
360網(wǎng)站安全檢測的情況:
360網(wǎng)站安全檢測目前支持php類型的網(wǎng)馬掃描?,,asp,、aspx、html,、畸形文件(夾),,均不支持,360漏洞檢測只支持php語言的網(wǎng)馬文件,,其他語言編寫的網(wǎng)馬后門是無法掃描的,。
(點圖看大圖)
網(wǎng)站安全狗的情況:
網(wǎng)站安全狗支持所有類型的網(wǎng)馬掃描。網(wǎng)站安全狗在這方面就比較全面,,均可掃描,。
(點圖看大圖)
對比結果:
網(wǎng) 站安全狗支持所有類型的腳本文件掃描,查殺率是100%;360網(wǎng)站安全掃描只能支持PHP后綴的文件,,只掃描出1個網(wǎng)頁后門,,查殺率不足10%。另外網(wǎng) 站安全狗應該不是簡單根據(jù)后綴類型來掃描,,而是根據(jù)文件里面的網(wǎng)馬特征來匹配,。不管什么樣的后綴類型,都可以掃描出來,。網(wǎng)站安全狗還有一個功能就是:可以 到網(wǎng)馬查殺-掃描設置-目標文件,,來指定需要掃描的后綴類型文件,自主選擇掃描范圍,。
5,、加密變形的WebShell、變形的一句話木馬以及畸形目錄的查殺率:
樣本情況:2個加密文件變形后門,,1個普通的一句話木馬,,1個一句話變形木馬;
360網(wǎng)站安全檢測的情況:
(點圖看大圖)
網(wǎng)站安全狗的情況:
(點圖看大圖)
對比結果:
加密后的文件、一句話變形文件,,360漏洞檢測都無法掃描出來,。加密文件、一句話木馬變形,,網(wǎng)站安全狗都可以掃描出來,。圖7,網(wǎng)站安全狗還支持畸形文件的掃描;有興趣童鞋的可以自己弄幾個樣本試一下,,對比下結果,。
總評:
綜合這兩款軟件的測試成績,我們可用一個表格再對比下:
|
測試項目 |
360 網(wǎng)站安全檢測 |
網(wǎng)站安全狗 |
| 操作的簡易程度 | 360需要注冊賬號,,需要認證并下載php掃描文件才能檢測,,并且不支持二級域名掃描。 | 無需注冊,,可直接在服務器上安裝網(wǎng)站安全狗,。并支持自定義路徑掃描,、自定義網(wǎng)站、全站掃描等多功能檢測,。 |
| 支持的網(wǎng)站數(shù)量 | 360多站點掃描功能,,需要逐個添加站點并認證,添加較為麻煩,。 | 采用一鍵安裝,,掃描覆蓋面是自由選取,什么站點都任意掃描,,自定義站點,、自定義路徑,全站掃描,。 |
| PHP后門的查殺率 | 查殺率小于10% | 查殺率為100% |
| 其他腳本類型后門的查殺率 |
只支持PHP后綴的文件
查殺率小于10% |
支持任意類型文件
查殺率為100% |
| 加密變形的WebShell,、變形的一句話木馬以及畸形目錄的查殺率 | 對變形后門處理較差,無法識別變形后門 | 在測試環(huán)境和固有樣本的情況下,,加密文件,、一句話木馬變形,網(wǎng)站安全狗都可以掃描出來 |
另外在掃描結果方面,,360網(wǎng)站安全檢測只支持掃描,,不支持對掃描結果進行處理;網(wǎng)站安全狗可以直接進行處理、隔離,、添加白名單等操作,,靈活許多,相對優(yōu)于360漏洞檢測,。
在掃描方式方面,,360漏洞檢測通過web方式掃描,速度慢,,而且還會占用一定的帶寬,,站點一多如果同時掃描多個站點肯定會影響服務器的一些性能。網(wǎng)站安全狗則在這方面限制沒那么多,,性能略優(yōu),。
感謝游俠安全網(wǎng)的分享
