Inicio>código fuente PHP>Otras categorias
Descargar

Buscador de malware PHP 

 _______  __   __  _______
|  ___  ||  |_|  ||       |
| |   | ||       ||    ___|
| |___| ||       ||   |___   Webshell finder,
|    ___||       ||    ___|   kiddies hunter,
|   |    | ||_|| ||   |		website cleaner.
|___|    |_|   |_||___|

Detect potentially malicious PHP files.

¿Qué detecta?

PHP-malware-finder hace todo lo posible para detectar código ofuscado/dudoso, así como archivos que utilizan funciones PHP utilizadas a menudo en malwares/webshells.

También se detecta la siguiente lista de codificadores/ofuscadores/webshells:

  • Gallito
  • Mejor ofuscador de PHP
  • Carbilamina
  • Diseño de cifrado
  • ciclodev
  • Ofuscador de herramientas web de Joes
  • PASO
  • PHP Jiami
  • Codificación del ofuscador PHP
  • SpinObf
  • Weevely3
  • atomico
  • ofuscador cobra
  • nano
  • nova caliente
  • código phpen
  • tennc
  • colección-de-malware-web
  • herramientas webvn
  • Kraken-ng

Por supuesto, es trivial evitar el PMF, pero su objetivo es atrapar a niños e idiotas, no a personas con un cerebro funcional. Si informa sobre una estúpida derivación personalizada para PMF, probablemente pertenezca a una (o ambas) categorías y debería volver a leer la declaración anterior.

¿Cómo funciona?

La detección se realiza rastreando el sistema de archivos y probando los archivos con un conjunto de reglas YARA. ¡Sí, es así de simple!

En lugar de utilizar un enfoque basado en hash , PMF intenta en la medida de lo posible utilizar patrones semánticos para detectar cosas como "una variable $_GET se decodifica dos veces, se descomprime y luego se pasa a alguna función peligrosa como system ".

Instalación

De la fuente

  • Instale Go >= 1.17 (usando su administrador de paquetes o manualmente)
  • Instale libyara >= 4.2 (usando su administrador de paquetes o desde la fuente)
  • Descargue php-malware-finder: git clone https://github.com/jvoisin/php-malware-finder.git
  • Compile php-malware-finder: cd php-malware-finder && make

o reemplace los últimos 2 pasos con go install github.com/jvoisin/php-malware-finder , que compilará e instalará PMF directamente en su carpeta ${GOROOT}/bin .

¿Cómo usarlo? 

 $ ./php-malware-finder -h
Usage:
  php-malware-finder [OPTIONS] [Target]

Application Options:
  -r, --rules-dir=      Alternative rules location (default: embedded rules)
  -a, --show-all        Display all matched rules
  -f, --fast            Enable YARA's fast mode
  -R, --rate-limit=     Max. filesystem ops per second, 0 for no limit (default: 0)
  -v, --verbose         Verbose mode
  -w, --workers=        Number of workers to spawn for scanning (default: 32)
  -L, --long-lines      Check long lines
  -c, --exclude-common  Do not scan files with common extensions
  -i, --exclude-imgs    Do not scan image files
  -x, --exclude-ext=    Additional file extensions to exclude
  -u, --update          Update rules
  -V, --version         Show version number and exit

Help Options:
  -h, --help            Show this help message

O si prefieres usar yara : 

 $ yara -r ./data/php.yar /var/www

Tenga en cuenta que debe usar al menos YARA 3.4 porque estamos usando hashes para el sistema de lista blanca y expresiones regulares codiciosas. Tenga en cuenta que si planea compilar yara a partir de fuentes, debe instalar libssl-dev en su sistema para tener soporte para hashes.

Ah, y por cierto, puedes ejecutar el conjunto de pruebas completo con make tests .

Estibador

Si desea evitar tener que instalar Go y libyara, también puede usar nuestra imagen de la ventana acoplable y simplemente montar la carpeta que desea escanear en el directorio /data del contenedor: 

 $ docker run --rm -v /folder/to/scan:/data ghcr.io/jvoisin/php-malware-finder

Lista blanca

Verifique el archivo whitelist.yar. Si eres vago, puedes generar listas blancas para carpetas enteras con el script generate_whitelist.py.

¿Por qué debería usarlo en lugar de otra cosa?

Porque:

  • No utiliza una sola regla por muestra, ya que solo se preocupa por encontrar patrones maliciosos, no webshells específicos.
  • Dispone de un completo testsuite, para evitar regresiones.
  • Su sistema de lista blanca no se basa en nombres de archivos.
  • No depende del cálculo de entropía (lento)
  • Utiliza un análisis estático estilo gueto, en lugar de depender de hashes de archivos.
  • Gracias al análisis pseudoestático antes mencionado, funciona (especialmente) bien en archivos ofuscados.

Licencias

PHP-malware-finder tiene la licencia pública general reducida GNU v3.

El increíble proyecto YARA tiene la licencia Apache v2.0.

Por supuesto, los parches, listas blancas o muestras son más que bienvenidos.

Expandir
Información adicional
Aplicaciones relacionadas
Recomendado para ti
Información relacionada Todo