Beranda>Kode sumber PHP>Kategori lainnya
Unduh

Pencari Malware PHP 

 _______  __   __  _______
|  ___  ||  |_|  ||       |
| |   | ||       ||    ___|
| |___| ||       ||   |___   Webshell finder,
|    ___||       ||    ___|   kiddies hunter,
|   |    | ||_|| ||   |		website cleaner.
|___|    |_|   |_||___|

Detect potentially malicious PHP files.

Apa yang dideteksinya?

Pencari malware PHP melakukan yang terbaik untuk mendeteksi kode yang dikaburkan/cerdik serta file menggunakan fungsi PHP yang sering digunakan di malware/webshell.

Daftar encoder/obfuscator/webshell berikut juga terdeteksi:

  • Banten
  • Obfuscator PHP Terbaik
  • karbilamin
  • Desain Sandi
  • Cyklodev
  • Obfuscator Alat Web Joes
  • PAS
  • PHP Jiami
  • Pengkodean Obfuscator Php
  • PutarObf
  • Wevely3
  • atomiku
  • obfuscator kobra
  • nano
  • novahot
  • kode phpen
  • tennc
  • koleksi malware web
  • webtoolsvn
  • Kraken-ng

Tentu saja sepele untuk mengabaikan PMF, tetapi tujuannya adalah untuk menangkap anak-anak dan idiot, bukan orang-orang dengan otak yang bekerja. Jika Anda melaporkan bypass bodoh yang dirancang khusus untuk PMF, kemungkinan besar Anda termasuk dalam salah satu (atau keduanya), dan harus membaca kembali pernyataan sebelumnya.

Bagaimana cara kerjanya?

Deteksi dilakukan dengan meng-crawl sistem file dan menguji file berdasarkan serangkaian aturan YARA. Ya, sesederhana itu!

Daripada menggunakan pendekatan berbasis hash , PMF mencoba semaksimal mungkin menggunakan pola semantik, untuk mendeteksi hal-hal seperti "variabel $_GET didekodekan dua kali, dibuka ritsletingnya, dan kemudian diteruskan ke beberapa fungsi berbahaya seperti system ".

Instalasi

Dari sumber

  • Instal Go >= 1.17 (menggunakan manajer paket Anda, atau secara manual)
  • Instal libyara >= 4.2 (menggunakan manajer paket Anda, atau dari sumber)
  • Unduh php-malware-finder: git clone https://github.com/jvoisin/php-malware-finder.git
  • Bangun pencari-malware-php: cd php-malware-finder && make

atau ganti 2 langkah terakhir dengan go install github.com/jvoisin/php-malware-finder , yang akan langsung mengkompilasi dan menginstal PMF di folder ${GOROOT}/bin Anda.

Bagaimana cara menggunakannya? 

 $ ./php-malware-finder -h
Usage:
  php-malware-finder [OPTIONS] [Target]

Application Options:
  -r, --rules-dir=      Alternative rules location (default: embedded rules)
  -a, --show-all        Display all matched rules
  -f, --fast            Enable YARA's fast mode
  -R, --rate-limit=     Max. filesystem ops per second, 0 for no limit (default: 0)
  -v, --verbose         Verbose mode
  -w, --workers=        Number of workers to spawn for scanning (default: 32)
  -L, --long-lines      Check long lines
  -c, --exclude-common  Do not scan files with common extensions
  -i, --exclude-imgs    Do not scan image files
  -x, --exclude-ext=    Additional file extensions to exclude
  -u, --update          Update rules
  -V, --version         Show version number and exit

Help Options:
  -h, --help            Show this help message

Atau jika Anda lebih suka menggunakan yara : 

 $ yara -r ./data/php.yar /var/www

Harap diingat bahwa Anda harus menggunakan setidaknya YARA 3.4 karena kami menggunakan hash untuk sistem daftar putih, dan regexp serakah. Harap dicatat bahwa jika Anda berencana membangun yara dari sumber, libssl-dev harus diinstal pada sistem Anda agar mendapat dukungan untuk hash.

Oh, dan omong-omong, Anda dapat menjalankan testsuite komprehensif dengan make tests .

Buruh pelabuhan

Jika Anda tidak perlu menginstal Go dan libyara, Anda juga dapat menggunakan image buruh pelabuhan kami dan cukup memasang folder yang ingin Anda pindai ke direktori /data container: 

 $ docker run --rm -v /folder/to/scan:/data ghcr.io/jvoisin/php-malware-finder

Masuk daftar putih

Periksa file whitelist.yar. Jika Anda malas, Anda dapat membuat daftar putih untuk seluruh folder dengan skrip generate_whitelist.py.

Mengapa saya harus menggunakannya daripada yang lain?

Karena:

  • Ia tidak menggunakan satu aturan per sampel, karena ia hanya peduli untuk menemukan pola berbahaya, bukan webshell tertentu
  • Ini memiliki testsuite lengkap, untuk menghindari regresi
  • Sistem daftar putihnya tidak bergantung pada nama file
  • Itu tidak bergantung pada komputasi entropi (lambat).
  • Ia menggunakan analisis statis gaya ghetto, alih-alih mengandalkan hash file
  • Berkat analisis pseudo-statis yang disebutkan di atas, ini berfungsi (terutama) dengan baik pada file yang dikaburkan

Perizinan

Pencari malware PHP dilisensikan di bawah GNU Lesser General Public License v3.

Proyek YARA yang luar biasa ini dilisensikan di bawah lisensi Apache v2.0.

Patch, daftar putih, atau sampel tentu saja diterima dengan baik.

Memperluas
Informasi Tambahan
Aplikasi Terkait
Direkomendasikan untuk Anda
Informasi Terkait Semua