BackdoorMan — обнаружение вредоносных сценариев

Главная задача BackdoorMan — помочь веб-мастерам и разработчикам обнаруживать вредоносные сценарии в файлах их сайтов, потому что подавляющему большинству хакеров свойственно оставлять бэкдор на сайте, который они уже взломали. Бэкдор позволяет хакерам сохранять доступ на сайт, даже если владелец сайта сменил пароль аккаунта. Сценарии бэкдора могут занимать от двух строчек кода до сотни и могут сливаться с сотнями файлов, что делает их обнаружение очень непростой задачей, особенно, если бэкдор является неактивным. Существуют общепринятые способы и инструменты для противодействия бэкдорам, включают grep, но BackdoorMan автоматизирует все описанное выше и делает его даже более простым (по крайней мере, я на это надеюсь).

Свойства BackdoorMan

• Оболочки обнаруживают по имени файла, используя базу данных сигнатур оболочек.
• Распознавание веб бекдоров.
• Обнаруживает использование подозрительных PHP функций и их активность.
• Использование внешних служб, помимо их функциональности.
• Использование nimbusec shellray API (бесплатная онлайн webshell обнаруживает PHP файлы https://shellray.com).Очень высокая распознавательная производительность для webshells.
• Проверяет только подозрительные PHP файлы.
• Простая, быстрая и надежная.
• Классификация для webshell с классификацией поведения.
• Бесплатное обслуживание nimbusec.
• Использование VirusTotal Public API (бесплатная онлайн служба, которая анализирует файлы и облегчает быстрое обнаружение вирусов, червей, троянов и других видов вредоносного ПО), это может быть полезно в нашей ситуации.
• Использование UnPHP (Онлайн PHP дешифратор: UnPHP бесплатная служба, которая анализирует подозрительный и вредоносный PHP код) www.unphp.net. Является очень полезной в нашей ситуации.Eval + gzinflate + Base64.
• Рекурсивное прояснение.
• Поддержка пользовательских функций и регулярных выражений (Regex).

Требования

• модуль запросов

Использование BackdoorMan

Usage: BackdoorMan [options] destination1 [destination2 ...]

A toolkit that helps you find malicious, hidden and suspicious PHP scripts and shells in a chosen destination.
Author: Yassine Addi <yassineaddi.dev(at)gmail(dot)com>.
NOTE: This tool does not require Internet connection but it is highly recommended to benefit from all features.

Options:
  --version             show program's version number and exit
  -h, --help            show this help message and exit
  -o OUTPUT, --output=OUTPUT
                        save output in a file
  --no-color            do not use colors in the output
  --no-info             do not show file information
  --no-apis             do not use APIs during scan (not recommended)

Перевод: AnnaDavydova

Источник