0x00 Предисловие

Во время чрезвычайных ситуаций в Linux мы иногда используем инструменты уничтожения Webshell для сканирования и очистки троянских программ на атакованных сайтах, как мы все знаем, D Shield от Brother D очень хорош в уничтожении Webshell, но, к сожалению, версии для Linux не существует, поэтому его можно использовать только; on Используется под Windows.

Итак, как в этом сценарии нам следует использовать D-shield для уничтожения веб-оболочки хоста Linux? Собрать весь сайт и просканировать его локально – это точно нереально (слишком наказуемо)…! Здесь мы можем смонтировать файловую систему Linux в Windows, а затем просканировать ее с помощью D Shield.

Используемые инструменты:

https://www.d99net.net/
https://winfsp.dev/rel/
https://github.com/evsar3/sshfs-win-manager
https://github.com/dokan-dev/dokany/releases/tag/v1.0.5
https://github.com/feo-cz/win-sshfs/releases/tag/1.6.1
https://github.com/DDoSolitary/yasfw/releases/tag/v0.1.0

0x01 winfsp + sshfs-win

Загрузите winfsp и sshfs-win с официального сайта. Вы должны установить их от имени администратора, иначе может возникнуть следующая ошибка. Весь процесс бессмысленен, и следующий шаг можно просто завершить.

The installer has encountered an unexpected errorinstalling this package. This may indicate a problem with this package. The error code is 2503/2502.

1. После завершения установки мы можем щелкнуть правой кнопкой мыши“этот компьютер”->“Подключить сетевой диск”Устанавливать,Пароль пользователя SSH необходимо подтвердить при первом подключении.

\\sshfs\root@192.168.1.120          //Отображение домашнего каталога
\\sshfs\root@192.168.1.120\/        //сопоставление/корневой каталог
\\sshfs.r\root@192.168.1.120        //сопоставление/корневой каталог
\\sshfs.r\root@192.168.1.120!1234   //сопоставление/корневой каталог（Другие порты）

2. Мы также можем использовать сеть Команда use локально монтирует сопоставление корневого каталога Linux. Z — это буква подключенного диска, которую можно изменить самостоятельно. Здесь также необходимо проверить пароль пользователя SSH.

net use              //Перечислить все соединяющиеся сети
net use Z: /del      //Удалить диск Z, назначенный этой машиной 
net use * /del /y    //Удалить все сопоставления и IPC$
net use Z: \\sshfs\root@192.168.1.120\/         //Сопоставляем корневой каталог другой стороны с диском Z
net use Z: \\sshfs.r\root@192.168.1.120         //Сопоставляем корневой каталог другой стороны с диском Z
net use Z: \\sshfs.r\root@192.168.1.120!1234    //Сопоставляем корневой каталог другой стороны с диском Z（Другие порты）

3. Мы также можем использовать SSHFS-Win Менеджер — это интерфейсный инструмент для подключения и монтирования. Добавить Соединение Добавьте соединение, заполните соответствующие параметры, а затем щелкните значок для успешного подключения.

NAME：соединятьимя；
IP/HOST: IP-адрес сервера;
ПОРТ: номер порта SSH;
ПОЛЬЗОВАТЕЛЬ: имя пользователя SSH;
ПАРОЛЬ: пароль SSH;
PATH: путь к папке монтирования;
DRIVE БУКВА: буква диска (буква диска),Авто значит автоматический,Вы можете выбрать самостоятельно;

Распространенное решение ошибок:

Если при подключении с помощью инструмента SSHFS-Win Manager возникает ошибка «winfsp-x64.dll не найден», это вызвано тем, что winfsp не установлен. Чтобы решить проблему, вам нужно всего лишь переустановить winfsp.

Иногда при удалении подключенного диска появляется сообщение об ошибке «Это сетевое подключение не существует». Вы не можете использовать команду net use для удаления подключенного диска. Вы можете попробовать отключить сеть и повторно подключиться или удалить и переустановить winfsp или. sshfs-победа.

0x02 dokan + win-sshfs/yasfw

Инструменты win-sshfs и yasfw полагаются на Dokan, поэтому сначала необходимо установить Dokan, и это должна быть версия 1.0.5. В противном случае при монтировании вам будет предложено указать недостающие файлы, связанные с Dokan, или другие различные ошибки версии.

1. После завершения установки мы можем использовать инструмент win-sshfs для подключения и монтирования, при необходимости заполните соответствующие параметры, затем нажмите «Сохранить» в правом нижнем углу, а затем нажмите «Подключить», чтобы успешно смонтировать, если версия Dokan неверна. , будет подсказка.

2. Мы также можем использовать инструмент yasfw для выполнения следующей команды для монтирования, но yasfw может использовать только версию 0.1.0. Если она выше этой версии, может появиться следующая ошибка, и Dokan не сможет использовать net. используйте крепление.

yasfw.exe -s 192.168.1.120 -p 22 -u root -m Z

Нам нужно использовать любой из вышеперечисленных методов только для успешного локального монтирования файловой системы Linux, а затем мы можем напрямую использовать D-shield для сканирования и очистки файлов трояна Webshell.

Примечание:NSF、SambaМожно протестировать его локально или в среде интрасети.,Это может быть не «удобно» в реальных чрезвычайных ситуациях.,Потому что эти два метода необходимо настроить и модифицировать на них.,Чтобы избежать непредсказуемых ошибок,Лично я не рекомендую его использовать.