本发明提供了一种网页入侵脚本攻击工具的检测方法及服务器，其方法包括：获取预设时间段内受保护站点下各网页的网页出入度值；根据网页出入度值，确定包含疑似网页入侵脚本攻击工具webshell文件的候选集合；根据预设特征行为，确定候选集合中的webshell文件。本发明通过对受保护站点下各网页的网页出入度进行预检，确定一部分疑似webshell文件的候选集合，以降低文件检测的计算量，再通过预设特征行为检测对疑似webshell文件进行再次验证以确定候选集合中的webshell文件，提高webshell文件识别的准确率。