使用D盾扫描Linux主机Webshell

0x00 前言

我们在Linux应急时有时要用到Webshell查杀工具对被攻击站点进行木马扫描和清理；众所周知D哥的D盾在Webshell查杀方面做的还是很强的，但可惜没有Linux版，只能在Windows下使用。

那么在这种场景下我们又该如何使用D盾查杀Linux主机的Webshell？打包整站到本地来扫肯定不现实（太刑了）…！这里我们可以将Linux文件系统挂载到Windows，然后再用D盾扫描就行了。

使用到的工具：

https://www.d99net.net/
https://winfsp.dev/rel/
https://github.com/evsar3/sshfs-win-manager
https://github.com/dokan-dev/dokany/releases/tag/v1.0.5
https://github.com/feo-cz/win-sshfs/releases/tag/1.6.1
https://github.com/DDoSolitary/yasfw/releases/tag/v0.1.0

0x01 winfsp + sshfs-win

官网下载winfsp和sshfs-win，要以管理身份进行安装，否则可能出现以下报错，全程无脑下一步，最后finish就可以了，可参考今天发的次条文章。

The installer has encountered an unexpected errorinstalling this package. This may indicate a problem with this package. The error code is 2503/2502.

1. 安装完成后我们就可以通过右键“此电脑”->“映射网络驱动器”进行挂载，首次连接时需要验证SSH用户密码。

\\sshfs\root@192.168.1.120          //映射home目录
\\sshfs\root@192.168.1.120\/        //映射/根目录
\\sshfs.r\root@192.168.1.120        //映射/根目录
\\sshfs.r\root@192.168.1.120!1234   //映射/根目录（其他端口）

2. 我们也可以用net use命令将Linux根目录映射挂载到本地，Z为映射的磁盘盘符，可自行修改，这里也需要验证SSH用户密码。

net use              //列出所有网络连接
net use Z: /del      //删除本机映射的Z盘 
net use * /del /y    //删除所有映射和IPC$
net use Z: \\sshfs\root@192.168.1.120\/         //将对方根目录映射为Z盘
net use Z: \\sshfs.r\root@192.168.1.120         //将对方根目录映射为Z盘
net use Z: \\sshfs.r\root@192.168.1.120!1234    //将对方根目录映射为Z盘（其他端口）

3. 我们还可以用SSHFS-Win Manager这个界面化工具进行连接和挂载，Add Connection添加一个连接，按要求填写相关选项，然后再点击那个图标即可成功挂载。

NAME：连接名称；
IP/HOST：服务器IP；
PORT：SSH端口号；
USER：SSH用户名；
PASSWORD：SSH密码；
PATH：挂载文件夹路径；
DRIVE LETTER：驱动器号（盘符），Auto为自动，可自行选择；

常见报错解决：

使用SSHFS-Win Manager工具连接时如果出现“winfsp-x64.dll not found”报错，这是因为没有安装winfsp而导致，只需要重装下winfsp即可解决。

有时在卸载映射磁盘时会出现“此网络连接不存在”报错，也不能用net use命令删除映射磁盘，可以尝试断开网络重新连接，或者卸载并重装winfsp、sshfs-win。

0x02 dokan + win-sshfs/yasfw

win-sshfs、yasfw这两个工具都依赖Dokan，所以得先安装Dokan，而且还得是v1.0.5，否则在挂载时会提示缺少dokan相关文件或者其他各种版本错误等。

1. 安装完成后我们就可以用win-sshfs工具进行连接和挂载，按要求填写相关选项，然后先点击右下角的Save，再点击Mount即可成功挂载，Dokan版本不对会有提示。

2. 我们也可以用yasfw工具执行以下命令进行挂载，但yasfw只能用v0.1.0，如果高于这个版本则可能会出现下图报错，挂载不起来，Dokan不能用net use挂载。

yasfw.exe -s 192.168.1.120 -p 22 -u root -m Z

我们只要使用以上任何一种方式将Linux文件系统成功挂载到本地，然后就可以直接用D盾对其进行Webshell木马文件的扫描和清理了。

注：NSF、Samba等方式在本地测试或内网环境还行，如果在实战应急时可能不太“方便”，因为这两种方式要在他们主机上进行配置和修改，为避免出现不可预知错误，个人不建议使用。