Y para ello vamos a utilizar una herramienta llamada Web Shell Detector donde viene en las versiones escrita en el lenguaje de PHP y Python.
A fines prácticos, realmente me gusta mucho utilizarlo como scripts en Python. Para poder descargarlo solo tenemos que clonar el repositorio desde GitHub de la siguiente manera:
$ git clone https://github.com/emposha/Shell-Detector.git
Solo queda ingresar al directorio y ejecutar la herramienta shelldetector.py especificando como argumento -d el directorio que queremos revisar.
$ python shelldetector.py -d /var/www/miweb
Shell Detector va a investigar y analizar cada archivo dentro de ese directorio web en búsqueda de funciones que generalmente los malos utilizan para ocultar y ofuscar scripts como base64_encode, system, exec, etc. y por medio de su firma, expresiones regulares y contenido puede llegar a determinar si se trata de un Web Shell instalado en el servidor.
Recordemos que los Web Shell más populares encontrados en las webs coladas son c99, r57, c100, PHPjackal y Locus, pero claro no son los únicos.
A poner en práctica esta herramienta y monitorear nuestros servidores web con esta herramienta tan simple de implementar.
Saludos!
Enlace | Web Shell Detector
No hay comentarios.:
Publicar un comentario