Escrito na linguagem Python, o BackdoorMan automatiza a árdua tarefa de varrer manualmente o sistema em busca de arquivos maliciosos em um webserver.
Características
- Detecta shells através do nome de arquivo utilizando uma base de dados de assinatura de shells;
- Reconhecimento de backdoors web;
- Detecta o uso de funções e atividades suspeitas do PHP;
- Utiliza serviços externos para suas funcionalidades;
- Usa a API do Shellray (ferramenta gratuíta que varre o sistema em busca de arquivos PHP maliciosos);
- Alto desempenho na procura por webshells;
- Verifica arquivos php suspeitos online;
- Rápido, fácil e confiável;
- Classificação para webshells com base no comportamento;
- Serviço gratuíto da nimbusec.
- Uso de API pública do VirusTotal (Serviço online gratuito que analisa arquivos a agiliza a detecção de vírus, worms, trojans e todos os tipos de malware) e pode ser aplicada no nosso caso;
- Utiliza o UnPHP (Serviço gratuito para analise de código ofuscado e malicioso em arquivos PHP);
- Eval + gzinflate + Base64;
- Desofuscação recursiva;
- Funções customizadas e suporte à expressões regulares.
Instalação e uso
Conforme tela abaixo, digite o seguinte comando para clonar o repositório do BackdoorMan no GitHub:
git clone https://github.com/yassineaddi/BackdoorMan.git
E acessei o diretório recém-criado.
Dentro do diretório, como exemplo, digitei o comando abaixo para iniciar a varredura em um diretório específico, mas sem o uso de APIs.
./BackdoorMan --no-apis /var/www/html
Podemos visualizar as seguintes informações no decorrer da varredura:
- Diretório onde está sendo realizada a varredura;
- Status da atividade e indicação do nome do arquivo possivelmente malicioso;
- Destalhe sobre a atividade realizada pelo arquivo malicioso;
- Número da linha para referenciar a atividade suspeita;
- Caminho completo do arquivo malicioso;
- Dono do arquivo;
- Tamanho do arquivo.