宝塔面板提供四种木马检测方法:一、启用“网站防篡改”进行特征扫描;二、通过终端用ClamAV命令行查杀;三、开启“网站监控”做文件完整性校验;四、部署D盾工具深度识别Webshell。
如果您在宝塔面板中托管了网站,但怀疑源码已被植入木马病毒,则需借助安全检测机制快速识别恶意文件。以下是宝塔面板内置及兼容的多种一键检测木马病毒的方法:
一、使用宝塔官方“网站防篡改”功能扫描
宝塔面板集成的“网站防篡改”模块具备基础木马特征库匹配能力,可对PHP、JS、HTML等常见文件进行静态特征扫描,识别已知WebShell签名与可疑函数调用。
1、登录宝塔面板,在左侧菜单栏点击安全,进入安全中心页面。
2、在安全中心内找到网站防篡改功能模块,点击右侧开启按钮启用该功能。
3、启用后点击立即扫描,选择目标网站根目录,勾选启用木马查杀选项,开始执行扫描。
4、扫描完成后,在结果列表中查看标有高危或可疑标签的文件路径及匹配到的恶意特征字符串。
二、通过宝塔终端执行ClamAV命令行扫描
ClamAV是开源的反病毒引擎,宝塔支持通过SSH终端部署并调用其扫描网站目录,适用于检测混淆型、加密型及零日木马样本。
1、在宝塔面板中打开终端,执行命令安装ClamAV:yum install -y clamav(CentOS)或apt-get install -y clamav(Ubuntu/Debian)。
2、更新病毒库:freshclam,等待提示Database updated后继续。
3、切换至网站根目录,例如:cd /www/wwwroot/example.com。
4、运行扫描命令:clamscan -r --bell --infected .,其中--infected仅输出感染文件,避免冗余信息干扰。
三、启用宝塔“网站监控”中的文件完整性校验
该方法不依赖病毒特征库,而是通过记录网站初始文件哈希值,定期比对当前文件MD5/SHA256值变化,从而发现被篡改或新增的木马文件。
1、进入宝塔面板左侧菜单网站,选择目标站点,点击设置 → 网站监控。
2、开启文件完整性监控开关,并点击初始化校验生成基准快照。
3、设置监控周期为每6小时,勾选监控新增文件和监控内容变更两项。
4、当监控触发告警时,在异常文件列表中查看文件路径、变更时间及哈希差异详情,重点检查.php、.inc、.js等扩展名文件。
四、调用D盾Webshell查杀工具(第三方插件)
D盾是国内常用Webshell专项检测工具,支持深度解析PHP语法结构,可识别变量赋值绕过、动态函数拼接、base64/gzip双层解密等高级木马手法。
1、访问D盾官网下载Linux版命令行工具包,上传至服务器/www/server/dun目录。
2、赋予执行权限:chmod +x /www/server/dun/dun。
3、执行扫描命令:/www/server/dun/dun -p /www/wwwroot/example.com -t php,其中-t php限定只扫描PHP文件以提升效率。
4、扫描结束后,查看输出结果中带有[WebShell]标记的行,其后跟随的文件路径即为高置信度木马文件。
