El día de hoy les quiero comentar de una interesante herramienta que utilizo para buscar los "Web Shells" dentro de un directorio Web donde los malos siempre se quieren colar.
Y para ello vamos a utilizar una herramienta llamada
Web Shell Detector donde viene en las versiones escrita en el lenguaje de
PHP y
Python.
A fines prácticos, realmente me gusta mucho utilizarlo como scripts en Python. Para poder descargarlo solo tenemos que clonar el repositorio desde GitHub de la siguiente manera:
$ git clone https://github.com/emposha/Shell-Detector.git
Solo queda ingresar al directorio y ejecutar la herramienta shelldetector.py especificando como argumento -d el directorio que queremos revisar.
$ python shelldetector.py -d /var/www/miweb
Shell Detector va a investigar y analizar cada archivo dentro de ese directorio web en búsqueda de funciones que generalmente los malos utilizan para ocultar y ofuscar scripts como base64_encode, system, exec, etc. y por medio de su firma, expresiones regulares y contenido puede llegar a determinar si se trata de un Web Shell instalado en el servidor.
Recordemos que los
Web Shell más populares encontrados en las webs coladas son
c99,
r57,
c100,
PHPjackal y
Locus, pero claro no son los únicos.
A poner en práctica esta herramienta y monitorear nuestros servidores web con esta herramienta tan simple de implementar.
Saludos!
Enlace |
Web Shell Detector