|
顯示不全請(qǐng)點(diǎn)擊全屏閱讀
這是我2013年寫(xiě)的一個(gè)linux下的webshell查殺程序����,基于python開(kāi)發(fā)。
程序下載地址:http://pan.baidu.com/s/1jGKFW6y
程序截圖:
使用方法:
python main.py 查殺路徑
python main.py 查殺路徑 時(shí)間("2014-01-01 12:11:13")
程序特點(diǎn)說(shuō)明:
1.這款查殺程序采用插件化實(shí)現(xiàn)��,可以對(duì)新型的web后門(mén)添加自定義的查殺插件���,現(xiàn)有的10余款插件已經(jīng)能夠查殺目前常見(jiàn)的大部分web后門(mén)���,不過(guò)要注意的是現(xiàn)有的插件大多數(shù)都是查殺PHP后門(mén)的,asp及aspx不在覆蓋范圍����,jsp的插件較少,因?yàn)楫?dāng)初寫(xiě)這個(gè)程序是為了解決linux下的webshell查殺問(wèn)題�。該程序插件判斷一個(gè)文件是不是后門(mén),采用了針對(duì)文件代碼和屬性的多重邏輯判斷�,以極大的降低誤報(bào)率和漏報(bào)率。
2.智能查殺��,這款查殺程序?qū)崿F(xiàn)了讀PHP的變量簡(jiǎn)單跟蹤�����,能夠查殺大量變異后門(mén),比如
<?php
$a=$_POST['a'];
#fdsffd
$b='feafdea';
assert($a);
?>
這類(lèi)的后門(mén)��,程序會(huì)自動(dòng)追蹤assert函數(shù)內(nèi)的$a變量輸入來(lái)源���,如果發(fā)現(xiàn)參數(shù)可控���,則會(huì)報(bào)警。當(dāng)然它還支持include���、file_put_contents等后門(mén)查殺���。
3.加密后門(mén)查殺,這款查殺程序收集了大量加密后門(mén)特征�����,能夠?qū)⒓用芎箝T(mén)精確識(shí)別并查殺,像zend加密、base64等加密都有專(zhuān)門(mén)的查殺插件���。
4.針對(duì)PHP動(dòng)態(tài)函數(shù)后門(mén),由于PHP函數(shù)名可以當(dāng)成字符串來(lái)改變的特性,導(dǎo)致查殺關(guān)鍵字很難定位����,這款程序有專(zhuān)門(mén)針對(duì)PHP動(dòng)態(tài)函數(shù)后門(mén)的插件。
5.針對(duì)型查殺插件����,這款程序有專(zhuān)門(mén)針對(duì)PHPDDOS后門(mén)的查殺功能�����,集合了目前常見(jiàn)的PHPDDOS腳本特征
6.根據(jù)文件最后修改時(shí)間查找后門(mén)�����,為了照顧到小白服務(wù)器管理員��,特意加入了根據(jù)文件最后修改時(shí)間查找后門(mén)文件��,默認(rèn)程序只會(huì)查找php和jsp文件的最后修改時(shí)間�����,如有需要查找其他擴(kuò)展名的文件��,只需要修改main.py即可���。
7. 人性化顯示��,根據(jù)本人這幾年的應(yīng)急響應(yīng)經(jīng)驗(yàn)���,本程序會(huì)自動(dòng)輸出我們需要的信息����,包括后門(mén)路徑����、后門(mén)描述、后門(mén)代碼以及文件最后修改時(shí)間�����。
本人目前收集的webshel數(shù)百個(gè)webshell已經(jīng)覆蓋絕大部分�����,程序考慮到性能和誤報(bào)問(wèn)題���,使用的規(guī)則是根據(jù)經(jīng)驗(yàn)來(lái)編寫(xiě)��,請(qǐng)不要亂噴怎么樣簡(jiǎn)簡(jiǎn)單單能繞過(guò)查殺����,能干掉大部分的殺毒軟件就是好殺毒軟件。
如果您喜歡我的博客����,歡迎點(diǎn)擊圖片定訂閱到郵箱 也可以點(diǎn)擊鏈接【訂閱到鮮果】
|
