PHP-malware-finder 是一款优秀的检测webshell和恶意软件混淆代码的工具,比如以下组件都可以被检测发现。
Best PHP Obfuscator
Carbylamine
Cipher Design
Cyklodev
Joes Web Tools Obfuscator
P.A.S
PHP Jiami
Php Obfuscator Encode
SpinObf
Weevely3
atomiku
cobra obfuscator
phpencode
tennc
web-malware-collection
webtoolsvn
novahot
工作原理
PHP-malware-finder的检测原理是基于YARA规则爬取文件系统和测试文件,如可以发现经过两次编码、解压的危险参数。
使用方法
两种使用方法:
$ ./phpmalwarefinder -h
Usage phpmalwarefinder [-cfhtv] [-l (php|asp)] <file|folder> ...
-c Optional path to a configuration file
-f Fast mode
-h Show <span class="hljs-keyword">this</span> help message
-t Specify the number <span class="hljs-keyword">of</span> threads to use (<span class="hljs-number">8</span> by <span class="hljs-keyword">default</span>)
-v Verbose mode
-l <span class="hljs-built_in">Set</span> language (<span class="hljs-string">'asp'</span>, <span class="hljs-string">'php'</span>)也可以这样:
$ yara -r ./php.yar /<span class="hljs-keyword">var</span>/www
$ yara -r ./asp.yar /<span class="hljs-keyword">var</span>/www可以通过修改yar文件添加规则:
使用测试:
查杀一下自己平时收集到的免杀shell,覆盖度还是蛮高的。
下载地址
github地址:
https://github.com/nbs-system/php-malware-finder
*本文作者:六翼,转自FreeBuf.COM