php-malware-finder, 检测潜在的恶意PHP文件

分享于 

4分钟阅读

GitHub

  繁體 雙語
Detect potentially malicious PHP files
  • 源代码名称:php-malware-finder
  • 源代码网址:http://www.github.com/nbs-system/php-malware-finder
  • php-malware-finder源代码文档
  • php-malware-finder源代码下载
  • Git URL:
    git://www.github.com/nbs-system/php-malware-finder.git
    Git Clone代码到本地:
    git clone http://www.github.com/nbs-system/php-malware-finder
    Subversion代码到本地:
    $ svn co --depth empty http://www.github.com/nbs-system/php-malware-finder
    Checked out revision 1.
    $ cd repo
    $ svn up trunk
    

    Build Status

    PHP恶意软件查找程序
    
     _______ __ __ _______
    
    
    | ___ || |_| || |
    
    
    | | | || || ___|
    
    
    | |___| || || |___ Webshell finder,
    
    
    | ___|| || ___| kiddies hunter,
    
    
    | | | ||_|| || | website cleaner.
    
    
    |___| |_| |_||___|
    
    
    
    Detect potentially malicious PHP files.
    
    
    
    

    :它检测到什么

    PHP-malware-finder非常最好地检测模糊/恶意代码以及使用 in/webshells的PHP函数的文件。

    还可以检测到以下 encoders/obfuscators/webshells 列表:

    当然,绕过PMF的trivial ,但它的目标是捕捉kiddies和傻瓜,而不是那些拥有工作头脑的人。 如果你报告了一个,的,旁路,你可以能属于一个( 或者两者) 类别,并且应该读取前面的语句。

    :它是如何工作的

    通过将 文件系统 和测试文件根据集的规则crawling来进行检测。 是的,就是这么简单 !

    PMF尝试使用基于语义模式的尽可能多的语义模式来检测像"一个 $_GET 变量被解码两次,unziped,然后传递给一些危险函数如 system"这样的事情,而不是使用基于规则的哈希。

    如何使用它?

    
    $./phpmalwarefinder -h
    
    
    Usage phpmalwarefinder [-cfhtvl] <file|folder>.. .
    
    
     -c Optional path to a rule file
    
    
     -f Fast mode
    
    
     -h Show this help message
    
    
     -t Specify the number of threads to use (8 by default)
    
    
     -v Verbose mode
    
    
    
    

    或者,如果你更喜欢使用 yara:

    
    $ yara -r./php.yar/var/www
    
    
    
    

    我们应该记住,至少应该使用 YARA 3.4,因为我们使用的是系统的散列,以及贪婪的regexp,。 请注意,如果你计划从源代码构建 yara,必须在系统上安装 libssl,以便支持哈希。

    对了,顺便说一下,你可以用 make tests 来运行全面的。

    白名单

    检查 whitelist.yar 文件。 如果你懒惰,可以使用脚本为整个文件夹生成白名单。

    我为什么要用它而不是别的?

    因为:

    • 因为它只关心发现恶意模式,而不是特定的webshells,所以它不使用每一个样本的单一规则
    • 它有一个完整的,以避免回归
    • 它的白名单系统不依赖文件名
    • 它不依赖于( 慢速) 熵计算。
    • 它使用了一个ghetto风格的static 分析,而不是依赖于文件哈希
    • 感谢上述伪静态分析,它可以在模糊文件中运行( 尤其特别特别)。

    许可证

    PHP-malware-finder是许可在 GNU Lesser通用 public 许可证v3下。

    令人惊奇的 YARA项目是在 Apache v2.0许可下许可的。

    修补程序。白名单或者样本当然是受欢迎的。


    文件  PHP  files  Detect  mal  mali  
    相关文章