JayHackPro/JayShield
GitHub: JayHackPro/JayShield
JayShield 是一款零依赖的 Web 恶意软件扫描与隔离工具,帮助用户快速发现并安全移除网站中的 Webshell、后门和注入代码。
Stars: 0 | Forks: 0
# JayShield
### 查找并移除 Web 恶意软件、Webshell 和后门。
一款快速、无依赖的恶意软件扫描和移除工具,适用于网站和服务器。
将其指向一个文件夹,准确查看哪些文件被感染,然后安全地隔离威胁。未经您的许可,绝不会删除任何内容。
[](LICENSE)
[](package.json)
[](package.json)
**由 [JayHackPro](https://www.JayHackPro.com) 提供**
## 为什么选择 JayShield
当网站遭到黑客攻击时,攻击者通常会留下一些东西:放在上传文件夹中的 PHP Webshell、附加在正常文件中的混淆后门、主页上不可见的 iframe,或者隐藏在脚本中的加密货币挖矿程序。在数千个文件中手动查找这些东西既缓慢又容易出错。
JayShield 可以在几秒钟内完成。它会读取每个文件,将其与恶意软件技术库进行匹配,检查其确切指纹是否与已知的恶意文件匹配,并寻找打包和隐藏代码的典型特征。然后,它会为您显示一份清晰、排名明确的报告,并提议将威胁移至本地保险库,让您的网站立即停止提供这些文件。
它是一个没有依赖项的小型工具,因此您可以信任它、阅读它,并在安装了 Node 的任何地方运行它。
## 快速开始
无需安装:
```
npx @jayhackpro/jayshield ./public_html
```
或者一次性安装它:
```
npm install -g @jayhackpro/jayshield
jayshield ./public_html
```
使用无害的行业标准测试文件,证明它可以在您的机器上运行:
```
jayshield --selftest
```
## 它能捕获什么
- **Webshells**:c99、r57、WSO、b374k、FilesMan,以及基于相同模式构建的通用远程文件管理器和命令执行器。
- **后门**:对请求输入执行 `eval`、由 `$_GET` 和 `$_POST` 驱动的变量函数、`preg_replace` `/e` 技巧、获取并执行的远程 payload、硬编码的密码验证以及反向 shell。
- **混淆**:解码并执行的 payload、字符代码和十六进制字符串技巧、打包的单行代码,以及与解码器配对的大型编码 blob。
- **注入的前端恶意软件**:隐藏或零大小的 iframe、未转义标记的 `document.write`、`eval(atob(...))` 以及重定向到解码后的 URL。
- **加密货币挖矿程序**:CoinHive 以及消耗您访客设备资源的浏览器挖矿脚本。
- **Skimmer 和垃圾信息**:会话 cookie 窃取以及大块隐藏的 SEO 或医药垃圾链接。
- **伪装文件**:隐藏在声称是图像文件中的 PHP、像 `invoice.pdf.php` 这样的双重扩展名,以及位于只应存放静态文件的上传文件夹中的可执行脚本。
- **已知的恶意文件**:与您可以扩展的哈希集完全匹配,外加 EICAR 防病毒测试文件。
## 扫描结果示例
```
▓▓ JayShield malware scanner by JayHackPro
Scanned 1,284 files (24.6 MB) in 0.9 s
CRITICAL public_html/wp-content/uploads/2026/logo.php
✕ Obfuscated eval of a decoded payload:1
Code is hidden inside a decode call and run on the fly, the hallmark of a packed webshell.
>
▲ Executable script in an uploads folder:1
Upload and media folders should hold only static files. An executable script here is very often a planted backdoor.
HIGH public_html/index.html
▲ Hidden or zero-size iframe:42
An invisible iframe usually delivers malware or ad fraud to visitors without a trace on the page.
Summary
critical 1 high 1 medium 0 low 0
2 files infected, 1,282 clean
Review the findings, then remove them safely with:
jayshield public_html --quarantine
```
## 安全移除威胁
JayShield 绝不会删除您的文件。当您准备好进行清理时,隔离功能会将每个被标记的文件移动到本地保险库中,并记录其原始位置,这样您的线上网站会立即停止提供该文件,同时保留所有字节数据。
```
# 预览将要移动的内容,不进行任何更改
jayshield ./public_html --quarantine --dry-run
# 将每个 threat 移入 vault
jayshield ./public_html --quarantine
# 查看 vault 中的内容
jayshield --list
# 如果检测错误,将文件还原
jayshield --restore 标签:GNU通用公共许可证, MITM代理, Node.js, Webshell查杀, Web安全, 后门检测, 安全, 恶意软件扫描, 数据可视化, 暗色界面, 自定义脚本, 蓝队分析, 超时处理