其实很早就想做一个application版本的扫描webshell的工具，对于很多大站，这个工具可以有效的帮助站长发现藏在网站中某个很难被察觉的小角落里的webshell，甚至可以帮助站长发现自己web程序本身就存在的固有漏洞。

网上也许早就有类似的工具，但有二点要求决定了必须得自己写。一是写程序的人不一定是做安全的人，特征的选择并不一定就十分精确；二是也许写程序的人是做安全的人，但也许他会留个手脚什么的，我也无法知道。

拖了大概有一年时间，终于写好了第一个版本，前几天friddy已经抢先发布了：http://www.friddy.cn/article.asp?id=104，当然形容的也许过火了点，不过确实能满足日常网站扫描的需要了，对于坊间流行的webshell，基本上可以做到一网打尽了。当然，扫描的结果需要站长们自行分析，误报也许会很多，因为基于特征匹配的，从程序上很难判断哪些是webshell哪些是一句话木马哪些是web漏洞而哪些又是正常使用。

几点说明：

1.asp基本上学习了lake2的规则，在此感谢下前辈们的成果；

2.aspx、jsp主要是对主流的webshell的...

很多网站的管理员通过查看文件的修改时间定位被入侵后流下的网马与后门，因此修改文件的创建与修改时间可以有效的预防后门的泄露。

昨天研究了下，JSP只提供了修改“文件修改时间”的接口，却没有提供修改“文件创建时间”的接口，因此貌似只能修改“文件修改时间”，kj021320的JSP SHELL有这个功能，不过只能修改年月日，而且昨晚我遇到的RESIN 2.1.9 运行不了kj021320的那个SHELL，于是决定自己写个小的shell！

主要功能：
1.文件的时间属性查看，包括修改时间与创建时间；
2.文件修改时间的修改，精确到秒；

代码如下：
(Apache Tomcat/6.0.18下运行通过！)

首先谈谈什么是webshell，顾名思义，webshell："web" - 在web服务器上使用的、"shell" - 取得对服务器进行操作的权限，其实webshell是一个web的管理工具，所以也叫webadmin，但这个管理工具一般只被黑客（入侵者）利用，从而成为web入侵所常备的脚本攻击工具。百度百科是这么介绍的：webshell就是一个asp或php木马后门，黑客在入侵了一个网站后，常常在将这些asp或php木马后门文件放置在网站服务器的web目录中，与正常的网页文件混在一起。然后黑客就可以用web的方式，通过asp或php木马后门控制网站服务器，包括上传下载文件、查看数据库、执行任意程序命令等。于是webshell又被当作木马来被各种杀毒软件所查杀，于是也就产生了相对应的技术讨论：webshell的免杀，这个问题很多前辈讨论过，我只是针对这个问题讲一点皮毛。

先说个题外话，如果网速足够快，其实没有必要上传一个webshell到你入侵的服务器里等着被杀，而只要将webshell放在本机就可以啦，然后传个一句话木马上去，在本地post一下就可以eval或者execute你的webshell了，于是有了海阳顶端的CS版本webshell，但是如果网速很慢，这样子往往不能很好的执行，于是就得使用免杀的啦...

Webshell是大牛们写的，免杀也有幕...