网站网页文件防篡改助手（WEB文件写入拦截）使用说明

一、文件防篡软件改分为2个模块

（1）文件木马特征关键字过滤拦截模块（类似杀毒软件监控）

在 IIS读取 ASP / PHP / ASPX... 文件时，实时扫描文件中是否包含预设的木马特征关键字，如果有就禁止 IIS读取此文件（白名单文件除外），防止木马脚本运行

（2）文件防篡改模块

给目录加上一个保护锁，防止写入和修改 HTML / ASP / PHP / ASPX... 文件，保护文件不被篡改

二、开启文件防篡改保护后，会影响 FTP上传文件吗？

不会影响 FTP文件上传。我们增加了进程识别，只禁止 w3wp.exe / php.exe / php-cgi.exe ...等 IIS进程的写入和修改受保护的文件。其他进程，例如 FTP进程，Serv-u FTP进程仍然可以 FTP上传或修改文件。

三、规则设置说明

《防篡改软件》是否能发挥最佳的效果，依赖您设置的拦截规则。如果安装后，未设置规则，或规则设置有错误，可能无法达到预期的效果。如果规则设置上有疑问或问题，请一定联系我们的客服人员协助您设置规则。

四、文件木马特征关键字过滤拦截模块

1、模块功能

在 IIS在读取 asp / php / aspx / ashx... 文件时，实时扫描文件是否包含木马特征关键字，如果包含，则阻止 IIS读取此文件（白名单文件除外），禁止木马运行。

2、规则设置思路

（1）找出需要监控的网站目录，例如 d:\home\网站111\wwwroot

（2）找出需要监控文件类型（只填写程序类脚本），例如

asa
asax
asp
php
aspx
ashx

特别说明：这里填写的文件扩展名，不能填写点“.”符号；其他非程序类脚本，例如 HTML / JPG / RAR 不需要监控，也不要填写

（3）设置木马特征关键字，例如

*fsockopen*(*udp://*
*fsockopen*(*tcp://*
*fsockopen*(*://*fwrite*fclose*
*<*?*php*eval*(*$_POST*[*]*)*
*eval*(*gzuncompress*(*base64_decode*(*
*eval*(*gzinflate*(*base64_decode*(*
*eval*(*hex2bin*(*
*eval*(*base64_decode*(*
*<*?*php*$*=*urldecode*(*eval*(*)*return*
*Server.CreateObject*WScript.Shell*
*Server.CreateObject*Wscript.Network*
*Server.CreateObject*Shell.Application*
VBScript.Encode
*net*localgroup*administrators*/add*
72C24DD5-D70A-438B-8A42-98424B88AFB8
F935DC22-1CF0-11D0-ADB9-00C04FD58A0B
13709620-C279-11CE-A49E-444553540000

特别说明：
一个行填写一个关键字。支持组合关键字，特征码可以使用星号“*”进行关键字组合。
例如 *eval*(*base64_decode*(* 这样的组合关键字，使用组合关键字，可以减少错误拦截的几率。

我们收集了一些常见的木马特征关键字，其他更多关键字，可以自己补充，或定期向我们咨询是否有新的关键字。

（4）设置白名单文件、或白名单目录

软件正常运行后，如果有“拦截”行为，会在服务器的 C:\ZcntFileMon\Log 目录里生成日志文件，用记事本打开这里的日志文件，即可看到拦截日志。如果有错误拦截，把错误拦截的文件加入到白名单即可。

（5）测试拦截效果

手动上传一个 ASP / PHP 木马文件到服务器中，然后打开浏览器 http://www.域名.com/木马.asp 访问这个木马文件，看看是否有拦截。

（6）定期查询拦截日志，检查是否有错误拦截情况、和修改规则设置。

软件正常运行后，如果有“拦截”行为，会在服务器的 C:\ZcntFileMon\Log 目录里生成日志文件。

（7）设置后，如下图所示

（具体保护的目录名，或文件名，需要根据自己的实际情况做相应修改）

五、文件防篡改 - 常规保护模式

　　只保护指定的文件，例如，只保护包含 .html / .asp / .php / .aspx / .css / .js ...等扩展名的文件，禁止此类文件被写入或修改。其他类型的 .mdb / .rar / .zip / .jpg / .gif ... 则不用保护，不用填写。这样就可以防止网站 .html / .asp / .php / .aspx ... 文件被批量挂马了。

规则设置步骤

1、找到需要保护的目录，然后填写需要监控目录，例如 D:\home\网站111\wwwroot

2、填写需要保护的完整文件名，例如需要保护 Global.asa 和 Global.asax 文件禁止被写入或修改，可以在“文件黑名单（1）”里设置规则

Global.asa
Global.asax

这样，凡是文件名是 Global.asa 和 Global.asax 都会被禁止写入和修改。这样就可以防止特定的木马写入和修改这个文件了。

3、填写需要保护的文件类别（部分文件名）

（1）第一个情况，禁止 .asp / .php / .aspx ... 此类文件被写入和修改，防止被批量挂马

（2）第二个情况，禁止包含指定字符的文件名（部分文件名）被写入和修改

IIS有一个漏洞，如果类似 xxx.asp;yyy.jpg 这样的文件被上传的服务器里，这个 .jpg 文件会被作为 asp 脚本运行。这个文件名包含“.asp;”五个字符，我们可以设置一个规则，填写“.asp;”，禁止写入或修改包含“.asp;”字符的文件。这样也可以防止这样的木马上传到服务器里。

.htm
.html
.asp
.php
.asa
.asax
.aspx
.ashx
.css
.js
.asa;
.asax;
.asp;
.aspx;
.ashx;
.php;

特别注意，其他脚本，如果需要，可以自行补充上去，这里填写扩展名包含点“.”符号；其他类型的脚本，例如 .jpg / .gif / .rar / .zip ... 等一般不用填写。

.asa;
.asax;
.asp;
.aspx;
.ashx;
.php;

这几个规则，设置的规则为（注意点“.” 和分号“;”的位置，文件名中包含的特征是“点”和“分号”）

4、填写后，如下图所示

（具体保护的目录名，或文件名，需要根据自己的实际情况做相应修改）

六、文件防篡改 - 严格保护模式

　　默认保护保护所有文件，不用保护的文件，例如 rar / zip / mdb ...需要加入白名单

　　规则设置步骤和思路

1、找到需要保护的目录，填写需要保护的目录，例如 D:\home\网站111\wwwroot

2、填写“全局文件类型白名单”

　　填写监控目录后，目录 D:\home\网站111\wwwroot 里的所有文件都会受到保护，会被禁止写入和修改。如果网站有论坛需要在线上传 rar / jpg ... 附件文件，需要设置一个白名单规则，允许目录里写入和修改 rar / jpg ...等文件。

特别说明，如果网站 wwwroot 目录里不会上传 rar / jpg ...文件文件，则不用设置白名单。

例如，设置白名单规则（特别说明，这里的文件类型名称，没有包含点“.”，不能填写点）

mdb
ldb
jpg
gif
rar
zip

3、适用范围（需要严格保护的网站）

　　由于需要设置白名单，如果网站太多，需要针对不同的网站设置不同的白名单。当前保护模式适合网站较少的服务器。或只监控保护经常出问题的网站，例如，可以这样设置监控规则，只保护以下几个指定的网站。

    D:\home\网站111\wwwroot
    D:\home\网站222\wwwroot
    D:\home\网站333\wwwroot

4、填写的规则演示

（具体保护的目录名，或文件名，需要根据自己的实际情况做相应修改）

七、文件防篡改运行状态说明

点“重启文件监控”或“显示监控状态”后，如下图所示，红色监控处，会有一个“wzxFileMon”的过滤器，表示启动成功。

如果看不到这个“wzxFileMon”过滤器，有可能是过滤器加载失败，或配置文件填写有错误，例如，没有填写需要监控的目录等。如果多次重试后，仍然无法解决，请联系我们的客服人员为您排查故障原因。

八、软件下载

《智创网站文件防篡改助手》软件下载 http://www.zcnt.com/FileSysMon.asp

九、如果有问题，或疑问，请联系我们的客服人员，我们将热诚为您服务。

首页	软件介绍	软件下载	IIS监控	挂马清除	木马监控	网页文件防篡改	购买软件	使用说明	会员登录