您的位置 » 首页 » 实用工具,编程开发 » 后门查杀:linux python版webshell智能查杀程序-SeayFindShell

后门查杀:linux python版webshell智能查杀程序-SeayFindShell

发表于3年前 | 作者: seay | 分类: 实用工具, 编程开发 | 孵化于:2014年07月14日 | 文章热度:9,077 次 全屏阅读

显示不全请点击全屏阅读

这是我2013年写的一个linux下的webshell查杀程序,基于python开发。

程序下载地址:http://pan.baidu.com/s/1jGKFW6y

程序截图:

plus

使用方法:

python main.py 查杀路径  

python main.py 查杀路径  时间("2014-01-01 12:11:13")

程序特点说明:

1.这款查杀程序采用插件化实现,可以对新型的web后门添加自定义的查杀插件,现有的10余款插件已经能够查杀目前常见的大部分web后门,不过要注意的是现有的插件大多数都是查杀PHP后门的,asp及aspx不在覆盖范围,jsp的插件较少,因为当初写这个程序是为了解决linux下的webshell查杀问题。该程序插件判断一个文件是不是后门,采用了针对文件代码和属性的多重逻辑判断,以极大的降低误报率和漏报率。

2.智能查杀,这款查杀程序实现了读PHP的变量简单跟踪,能够查杀大量变异后门,比如

<?php
$a=$_POST['a'];
#fdsffd
$b='feafdea';
assert($a);
?>

这类的后门,程序会自动追踪assert函数内的$a变量输入来源,如果发现参数可控,则会报警。当然它还支持include、file_put_contents等后门查杀。

3.加密后门查杀,这款查杀程序收集了大量加密后门特征,能够将加密后门精确识别并查杀,像zend加密、base64等加密都有专门的查杀插件。

4.针对PHP动态函数后门,由于PHP函数名可以当成字符串来改变的特性,导致查杀关键字很难定位,这款程序有专门针对PHP动态函数后门的插件。

6

5.针对型查杀插件,这款程序有专门针对PHPDDOS后门的查杀功能,集合了目前常见的PHPDDOS脚本特征

11

6.根据文件最后修改时间查找后门,为了照顾到小白服务器管理员,特意加入了根据文件最后修改时间查找后门文件,默认程序只会查找php和jsp文件的最后修改时间,如有需要查找其他扩展名的文件,只需要修改main.py即可。

88

7. 人性化显示,根据本人这几年的应急响应经验,本程序会自动输出我们需要的信息,包括后门路径、后门描述、后门代码以及文件最后修改时间。

本人目前收集的webshel数百个webshell已经覆盖绝大部分,程序考虑到性能和误报问题,使用的规则是根据经验来编写,请不要乱喷怎么样简简单单能绕过查杀,能干掉大部分的杀毒软件就是好杀毒软件。

Tags:

后门查杀,

如果您喜欢我的博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容: 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡


来自 Seay互联网安全博客
本文地址:http://www.cnseay.com/3984/
文章版权说明请看置顶文章,尊重作者,转载请以链接形式标明原文地址

马上分享给你的朋友吧~

已经有3个筒子的人留下了脚印...

  • kun 说:
    1楼
    2014 年 9 月 28 日 下午 2:02 回复

    乱喷怎么样简简单单能绕过查杀,确实不好,不过有大牛留下怎么绕过查杀方法,然后seay 加入新策略,这样更好

  • chang 说:
    2楼
    2014 年 9 月 29 日 上午 10:12 回复

    老大,可否以该脚本为蓝本,写个pyinotify监控目录是否有WEBSHELL,有则发邮件报警的脚本。。感谢。。 😈

  • junze 说:
    3楼
    2015 年 12 月 6 日 下午 6:32 回复

    很不错的工具哦 赞一个

发表评论

你的大名(必填)

你的邮箱(必填)

评论内容(必填)