Procure por backdoors no seu linux utilizando o BackdoorMan

Oprincipal objetivo do BackdoorMan é ajudar os desenvolvedores e webmasters a procurarem por scripts maliciosos nos arquivos de um website, pois hoje em dia é muito comum para defacers colocarem algum backdoor nos sites invadidos. Um backdoor (porta dos fundos) possibilita que o invasor tenha acesso contínuo aos arquivos, mesmo que os donos do site alterem todas as senhas.

Escrito na linguagem Python, o BackdoorMan automatiza a árdua tarefa de varrer manualmente o sistema em busca de arquivos maliciosos em um webserver.

Características

  • Detecta shells através do nome de arquivo utilizando uma base de dados de assinatura de shells;
  • Reconhecimento de backdoors web;
  • Detecta o uso de funções e atividades suspeitas do PHP;
  • Utiliza serviços externos para suas funcionalidades;
  • Usa a API do Shellray (ferramenta gratuíta que varre o sistema em busca de arquivos PHP maliciosos);
    • Alto desempenho na procura por webshells;
    • Verifica arquivos php suspeitos online;
    • Rápido, fácil e confiável;
    • Classificação para webshells com base no comportamento;
    • Serviço gratuíto da nimbusec.
  • Uso de API pública do VirusTotal (Serviço online gratuito que analisa arquivos a agiliza a detecção de vírus, worms, trojans e todos os tipos de malware) e pode ser aplicada no nosso caso;
  • Utiliza o UnPHP (Serviço gratuito para analise de código ofuscado e malicioso em arquivos PHP);
  • Eval + gzinflate + Base64;
  • Desofuscação recursiva;
  • Funções customizadas e suporte à expressões regulares.

Instalação e uso

Conforme tela abaixo, digite o seguinte comando para clonar o repositório do BackdoorMan no GitHub:

git clone https://github.com/yassineaddi/BackdoorMan.git

E acessei o diretório recém-criado.

backdoorman1

Dentro do diretório, como exemplo, digitei o comando abaixo para iniciar a varredura em um diretório específico, mas sem o uso de APIs.

./BackdoorMan --no-apis /var/www/html

backdoorman

Podemos visualizar as seguintes informações no decorrer da varredura:

  • Diretório onde está sendo realizada a varredura;
  • Status da atividade e indicação do nome do arquivo possivelmente malicioso;
  • Destalhe sobre a atividade realizada pelo arquivo malicioso;
  • Número da linha para referenciar a atividade suspeita;
  • Caminho completo do arquivo malicioso;
  • Dono do arquivo;
  • Tamanho do arquivo.

 

Fonte