第一步：安裝

首先要確保服務(wù)器上已經(jīng)安裝了Ruby

如果服務(wù)器上沒(méi)有安裝，可以通過(guò)yum或者apt-get安裝ruby(根據(jù)自己服務(wù)器系統(tǒng)選擇對(duì)應(yīng)的方法安裝)

iScanner不需要額外的庫(kù)，且不需要安裝，但是作者還是做了個(gè)安裝和卸載腳本，讓我們可以可以通過(guò)下面的命令安裝和卸載 iScanner

卸載iscanner也很簡(jiǎn)單，命令如下：

第二步：使用參數(shù)詳解

-R        用這個(gè)參數(shù)區(qū)掃描遠(yuǎn)程的網(wǎng)頁(yè)或者網(wǎng)站。
# iscanner -R http://example.com

-F       用這個(gè)參數(shù)掃描指定的文件。
# iscanner -F /home/user/file.php

-f        用這個(gè)參數(shù)掃描指定的目錄。
# iscanner -f /home/user

-e     這個(gè)參數(shù)允許我們掃描只包含指定的文件后綴名的文件，默認(rèn)情況下，iScanner只掃描htm，html，php，js后綴名的文件，如果想掃描其它的特定的擴(kuò)展名的文件，使用如下命令
# iscanner -f /home/user -e htm:html    //只掃描/home/user下的htm和html文件

-d     iScanner默認(rèn)載入的是最新的惡意代碼特征庫(kù)，如果你想使用老版本或者修改版的惡意代碼特征庫(kù)，可以用下面的命令指定特征庫(kù)：
# iscanner -f /home/user -d database.db

-M     用這個(gè)參數(shù)允許我們指定惡意代碼，并且讓iscanner自動(dòng)產(chǎn)生正則表達(dá)式，掃描你指定的網(wǎng)站或網(wǎng)頁(yè)(防止我們想要掃描指定的代碼，比如js廣告代碼這些等。)
# iscanner -M /home/user/malware_code.txt -f /home/user
# iscanner -M /home/user/malware_code.txt -R http://example.com

-o     這個(gè)參數(shù)允許你將掃描的日志文件保存為特定的地方和特定的文件名，如果未指定這個(gè)參數(shù)，默認(rèn)感染日志文件的格式為"infected-[TIME]-[DATE].log"。參數(shù)舉例如下：

# iscanner -f /home/user -o user.log

-m      用這個(gè)參數(shù)，將掃描的日志文件發(fā)送到指定的郵箱中去。
# iscanner -f /home/user -m email@example.com

-c     用這個(gè)參數(shù)，可以刪除受感染文件中的惡意代碼，而不刪除受感染的文件。當(dāng)你用這個(gè)參數(shù)的時(shí)候，最好查看日志文件，以確保iscanner將會(huì)從哪些文件中刪除惡意代碼。
# iscanner -c infected.log

-b     這個(gè)參數(shù)可以讓iscanner保在刪除惡意代碼之前備份受感染的文件，默認(rèn)備份的文件名為"backup-[TIME]-[DATE]".
# iscanner -b -c infected.log

-r     這個(gè)參數(shù)可以讓我們從備份的文件中恢復(fù)被刪除的文件
# iscanner -r backup/

-a     這個(gè)參數(shù)可以讓iscanner自動(dòng)清除所有受感染的文件。這個(gè)參數(shù)可能會(huì)很危險(xiǎn)，當(dāng)你沒(méi)有先掃描文件或你不知道會(huì)產(chǎn)生何種結(jié)果。
# iscanner -f /home/user -a

-D     這個(gè)參數(shù)可以讓iscanner在調(diào)試模式下運(yùn)行，這個(gè)參數(shù)在你遇到問(wèn)題問(wèn)題是后將會(huì)很有用。
# iscanner -f /home/user -D

-q     如果你不想看到任何iscanner的輸出信息，就可以用這個(gè)命令讓iscanner在安靜模式下運(yùn)行
# iscanner -f /home/user -q

-s     這個(gè)參數(shù)可以讓我們將受感染的文件交給iscanner的開(kāi)發(fā)者分析，以改進(jìn)和升級(jí)惡意代碼特征庫(kù)
# iscanner -s /home/user/malicious_file.html

-U      這個(gè)參數(shù)可以用來(lái)升級(jí)iscanner和惡意代碼特征庫(kù)
# iscanner -U

-u      這個(gè)參數(shù)用來(lái)升級(jí)惡意代碼特征庫(kù)而不升級(jí)iscanner
# iscanner -u

-v      這個(gè)參數(shù)用來(lái)查詢(xún)打印輸出iscanner的版本和惡意代碼特征庫(kù)的版本號(hào)。
# iscanner -v

-h     這個(gè)參數(shù)可以查詢(xún)help幫助信息。
# iscanner -h

數(shù)據(jù)庫(kù)特征

* 第一行是特征的id   '0.0'.

*選項(xiàng)參數(shù)：
MU --> 多行正則表達(dá)式。
LN --> 一行正則表達(dá)式。
RE -->用正則表達(dá)式掃描遠(yuǎn)程的或者本地的文件。
LO -->用正則表達(dá)式只掃描本地文件。

工具開(kāi)發(fā)者的一些提示信息和建議:

*你可以輕松的修改惡意代碼特征庫(kù)的正則表達(dá)式

*如果你的幾個(gè)網(wǎng)扎都被入侵了，你可以添加特征到特征庫(kù)讓iscanner掃描所有被感染的文件

*你可以將iscanner放到crontab中定時(shí)掃描你的 文件，并將掃描結(jié)果發(fā)到你指定的郵件，多方便哈！

*你可以配置你的ftp服務(wù)器使得iscanner掃描所有上傳的文件，并且如果有受感染的文件，則發(fā)送掃描記錄到指定文件報(bào)警，通知管理員。

最新評(píng)論