D盾防火墻是專為IIS設(shè)計(jì)的一個(gè)主動(dòng)防御的保護(hù)軟件，可以實(shí)現(xiàn)webshellkill功能，以內(nèi)外保護(hù)的方式 防止網(wǎng)站和服務(wù)器給入侵，免費(fèi)攔截各種來(lái)自網(wǎng)絡(luò)的攻擊，在正常運(yùn)行各類網(wǎng)站的情況下，越少的功能，服務(wù)器越安全的理念而設(shè)計(jì)！ 限制了常見的入侵方法，讓服務(wù)器更安全!

D盾防火墻軟件功能

目錄限制

有效防止入侵者通過(guò)腳本上傳危險(xiǎn)程序或代碼,讓服務(wù)運(yùn)行于安全狀態(tài)。

執(zhí)行限制

防范入侵者執(zhí)行危險(xiǎn)程序，防范提權(quán)的發(fā)生。

網(wǎng)絡(luò)限制

禁止腳本連接本機(jī)的危險(xiǎn)端口，如常見的Serv-U提權(quán)端口，防范通過(guò)第三方軟件的網(wǎng)絡(luò)端口進(jìn)行提 權(quán)

禁止UDP向外發(fā)送，可有效防范UDP的DDOS攻擊，如PHPDDOS等，有效限制網(wǎng)絡(luò)帶寬給惡意占用

組件限制

禁止危險(xiǎn)的組件,讓服務(wù)器更安全。

.net安全

去除 .net 一些危險(xiǎn)基因，讓服務(wù)器更安全！

注入防御

防范因網(wǎng)站有注入問(wèn)題導(dǎo)致服務(wù)器給入侵。

3389防御

防范黑客未經(jīng)許可登陸你的3389，讓服務(wù)器更安全!

防CC攻擊

讓網(wǎng)站免受CC攻擊困擾！

禁止下載某文件類型

防止不該給下載的文件給下載,防止信息外露！

允許執(zhí)行的腳本擴(kuò)展名

有效的防止未經(jīng)允許的擴(kuò)展名腳本惡意執(zhí)行,如：CER,CDX 等擴(kuò)展名的木馬?；蚴?/1.asp/1.gif 等會(huì)執(zhí)行的情況

禁止如下目錄執(zhí)行腳本

防止圖片和上傳等可寫目錄執(zhí)行腳本

防范工具掃描網(wǎng)站目錄和文件信息

讓入侵者不容易知道你的網(wǎng)站結(jié)構(gòu)

防范MSSQL數(shù)據(jù)庫(kù)錯(cuò)誤信息反饋暴露表或數(shù)據(jù)信息

防范信息暴露。

軟件安裝教程

1.安裝與使用

請(qǐng)解壓全部文件到指定目錄，如C盤或D盤 例如:d:\d_safe 之后運(yùn)行 "D_Safe_Manage.exe" D盾程序,如果你的是IIS網(wǎng)站環(huán)境,請(qǐng)點(diǎn)擊“選項(xiàng)”頁(yè)里點(diǎn)擊按鈕“安裝[D盾]保護(hù)”,進(jìn)行安裝，安裝時(shí)需要管理員權(quán)限.如果你的電腦不是IIS的網(wǎng)站環(huán)境，無(wú)需安裝保護(hù),可當(dāng)web查殺軟件使用。

安裝保護(hù)后，狀態(tài)顯示

2.誤攔的處理

當(dāng)有誤攔時(shí)，請(qǐng)到D盾的"記錄"里查看，雙擊誤攔記錄，會(huì)彈出加白的窗口，之后點(diǎn)擊 [加入“白名單”]即可放行。

3.移除與卸載

如果你安裝過(guò)保護(hù)，會(huì)在開始菜單中生成快捷方式，你可以點(diǎn)擊“開始\所有程序\D盾防火墻\卸載_D盾”卸載軟件。也可以在 "控制面板\程序和功能"里找到“D盾防火墻”進(jìn)行卸載。

如果你只是解壓使用，直接刪除D盾相關(guān)目錄的文件即可。

D盾查殺之前先確保規(guī)則庫(kù)是最新的，可以查殺最新的webshell后門。

軟件使用教程

1、下載并且解壓安裝文件，部分電腦殺毒軟件會(huì)報(bào)毒，這是正?，F(xiàn)象

2、選擇網(wǎng)站根目錄進(jìn)行webshell查殺

一般來(lái)說(shuō)，如果是做web應(yīng)急處置的，時(shí)間比較充足的話建議掃描全部站點(diǎn)，對(duì)這個(gè)磁盤進(jìn)行掃描時(shí)間會(huì)比較長(zhǎng)，但是更全面。如果是防火墻上架或者是客戶已經(jīng)指定目錄的可以點(diǎn)擊自定義掃描，具體操作如下：

第一步，點(diǎn)擊自定義掃描

第二步，選擇網(wǎng)站根目錄（根據(jù)你的實(shí)際情況）

第三步，確認(rèn)后就開始掃描了，底部會(huì)顯示掃描進(jìn)度，掃描后會(huì)顯示結(jié)果

3、后門確認(rèn)與處置

掃描完成后會(huì)顯示哪些文件存在問(wèn)題，如下圖：

說(shuō)明：

1、顯示級(jí)別的數(shù)字越大，是木馬的可能性越大，即級(jí)別5大部分情況下都是木馬，級(jí)別1有一些敏感的參數(shù)或者函數(shù)不一定是木馬。

2、刪除后會(huì)的文件會(huì)進(jìn)入隔離去（和殺毒軟件類似，可以在隔離區(qū)恢復(fù)）

注意：

1、對(duì)于說(shuō)明中的第一點(diǎn)，即便是級(jí)別5的文件，建議每個(gè)文件去查看，如果自己不能確認(rèn)可以讓客戶幫忙查看是否是業(yè)務(wù)系統(tǒng)文件，訪問(wèn)是否正常，得到客戶確認(rèn)才能刪除。所以備份非常重要：對(duì)于所有要?jiǎng)h除的文件刪除前一定要做好備份工作，備份文件名稱和文件所對(duì)應(yīng)的路徑，誤刪除可能會(huì)導(dǎo)致客戶業(yè)務(wù)系統(tǒng)異常。

2、在查殺的界面刪除后，文件會(huì)被放到隔離文件中，會(huì)在D盾同一個(gè)目錄下有文件生成，如果需要恢復(fù)，可以在隔離區(qū)中恢復(fù)文件。如下圖：

2、D盾的高級(jí)使用功能

2.1 端口及進(jìn)程查看

1）端口查看

D盾可以查看系統(tǒng)上端口開放和連接建立的情況，在排查勒索病毒的時(shí)候可以查看如3389、135、445端口有沒(méi)有對(duì)外開放，如下圖：

2）進(jìn)程查看

進(jìn)程查看中可以看到當(dāng)前正常運(yùn)行的進(jìn)程，而且在每個(gè)進(jìn)程下面都可以看到加載的dll文件，可以作為輔助。

2.2 克隆賬號(hào)檢測(cè)

克隆賬號(hào)檢測(cè)需要以管理員身份運(yùn)行D盾，如下圖，右鍵以管理員身份運(yùn)行：

點(diǎn)擊【工具】【克隆賬號(hào)檢測(cè)】可以查看是否被黑客新建了用戶，如下圖：

3、文件監(jiān)控

文件監(jiān)控是D盾工具的優(yōu)勢(shì)功能，一般的webshell查殺工具不會(huì)有，他可以監(jiān)控目錄下文件的變化情況，這種場(chǎng)景在暫時(shí)沒(méi)有日志或者是暫時(shí)沒(méi)有發(fā)現(xiàn)黑客的web入侵途徑時(shí)比較有用，操作也比較簡(jiǎn)單。

第一步：把需要監(jiān)控的目錄寫到監(jiān)控目錄欄目中并啟動(dòng)監(jiān)控，如下圖：

注意：需要監(jiān)控的擴(kuò)展過(guò)濾可以根據(jù)自己的需要手工添加，一般默認(rèn)即可。

第二步：在監(jiān)控目錄下面修改文件

第三步：在文件監(jiān)控中查看

開啟文件監(jiān)控可以在安全日志不全或者POST記錄缺失的情況下部分還原攻擊者的攻擊路徑，對(duì)于排查問(wèn)題有一定幫助。

更新日志

D盾_Web查殺v2.1.5.4 更新
1.修正用戶反饋的一些問(wèn)題 (v2.1.5.3 的用戶請(qǐng)升級(jí))。
2.加處 phar:// 檢測(cè)，防范觸發(fā)式后門的加載。
3.修正 v2.1.5.3 中某些機(jī)器上隨機(jī)性php的500錯(cuò)誤(v2.1.5.3 的用戶請(qǐng)升級(jí))。
4.針對(duì)phpStudy某些PHP版本中的 php_xmlrpc.dll 中的后門識(shí)別，并自動(dòng)免疫處理(建意使用phpStudy的用戶升級(jí))。