Обнаружение вредоносных сценариев: BackdoorMan
Главная задача BackdoorMan — помочь веб-мастерам и разработчикам обнаруживать вредоносные сценарии в файлах их сайтов, потому что подавляющему большинству хакеров свойственно оставлять бэкдор на сайте, который они уже взломали. Бэкдор позволяет хакерам сохранять доступ на сайт, даже если владелец сайта сменил пароль аккаунта. Сценарии бэкдора могут занимать от двух строчек кода до сотни и могут сливаться с сотнями файлов, что делает их обнаружение очень непростой задачей, особенно, если бэкдор является неактивным. Существуют общепринятые способы и инструменты для противодействия бэкдорам, включают grep, но BackdoorMan автоматизирует все описанное выше и делает его даже более простым (по крайней мере, я на это надеюсь).
Свойства BackdoorMan
- Оболочки обнаруживают по имени файла, используя базу данных сигнатур оболочек.
- Распознавание веб бекдоров.
- Обнаруживает использование подозрительных PHP функций и их активность.
- Использование внешних служб, помимо их функциональности.
- Использование nimbusec shellray API (бесплатная онлайн webshell обнаруживает PHP файлы
Ссылка скрыта от гостей).
- Очень высокая распознавательная производительность для webshells.
- Проверяет только подозрительные PHP файлы.
- Простая, быстрая и надежная.
- Классификация для webshell с классификацией поведения.
- Бесплатное обслуживание nimbusec.
- Использование VirusTotal Public API (бесплатная онлайн служба, которая анализирует файлы и облегчает быстрое обнаружение вирусов, червей, троянов и других видов вредоносного ПО), это может быть полезно в нашей ситуации.
- Использование UnPHP (Онлайн PHP дешифратор: UnPHP бесплатная служба, которая анализирует подозрительный и вредоносный PHP код)
Ссылка скрыта от гостей. Является очень полезной в нашей ситуации.
- Eval + gzinflate + Base64.
- Рекурсивное прояснение.
- Поддержка пользовательских функций и регулярных выражений (Regex).
- модуль запросов
Код:
Usage: BackdoorMan [options] destination1 [destination2 ...]
A toolkit that helps you find malicious, hidden and suspicious PHP scripts and shells in a chosen destination.
Author: Yassine Addi <yassineaddi.dev(at)gmail(dot)com>.
NOTE: This tool does not require Internet connection but it is highly recommended to benefit from all features.
Options:
--version show program's version number and exit
-h, --help show this help message and exit
-o OUTPUT, --output=OUTPUT
save output in a file
--no-color do not use colors in the output
--no-info do not show file information
--no-apis do not use APIs during scan (not recommended)
Перевод: Анна Давыдова