BackdoorMan es un toolkit de código abierto escrito en Python por Yassine Addi para encontrar scripts PHP y shells maliciosos, ocultos y sospechosos en un servidor, automatizando todo el proceso de detección.
Recordar que es bastante común que cuando se logra comprometer un sitio se ubique un backdoor pues puede dar acceso continuo al sitio (persistencia) incluso si los propietarios del sitio cambian las contraseñas BackdoorMan detecta de forma precisa dichos backdoors.
Los scripts de un backdoor varían de 100 líneas de código hasta incluso 1 ó 2 líneas y se pueden fusionar en cientos de archivos lo que hace muy difícil descubrirlos, especialmente si el backdoor está inactivo.
Hay maneras y herramientas comunes que se pueden utilizar, como grep, pero BackdoorMan automatiza todo y hace más fácil la identificación de código malicioso.
Caracteristicas:
- Deteccion de shell mediante base de datos de firmas.
- Reconocimiento de Backdoor’s Web.
- Deteccion de funciones y actividades sospechosas de php
- Uso de servicios externos junto a sus funcinalidades
- Uso de nimbusec shellray API (deteccion de WebShell’s online y gratuito para archivos php https://shellray.com).
- Rendimiento alto de reconocimiento WebShell’s.
- Comprobacion de archivos sospechosos PHP en linea.
- Facil, Rapido y Confiable.
- Clasificacion de WebShell’s por comportamiento.
- Servicio gratuito de nimbusec.
- El uso de la API pública de VirusTotal (servicio en línea gratuito que analiza los archivos y facilita la detección rápida de virus, gusanos, troyanos y todo tipo de malware), que puede ser útil en nuestra situación.
- El uso de UnPHP (El decodificador en línea de PHP: UnPHP es un servicio gratuito para el análisis y ofuscado código PHP malicioso) www.unphp.net . Muy útil en nuestra situación.
- Eval + gzinflate + Base 64.
- De-Ofuscación recursiva.
- Función personalizada y soporte expresión regular.
Uso:
Usage: Python BackdoorMan --help
BackdoorMan [options] destination1 [destination2 ...]
A toolkit that helps you find malicious, hidden and suspicious PHP scripts and shells in a chosen destination.
Author: Yassine Addi <yassineaddi.dev(at)gmail(dot)com>.
NOTE: This tool does not require Internet connection but it is highly recommended to benefit from all features.
Options:
--version show program's version number and exit
-h, --help show this help message and exit
-o OUTPUT, --output=OUTPUT
save output in a file
--no-color do not use colors in the output
--no-info do not show file information
--no-apis do not use APIs during scan (not recommended)
Fuente:https://github.com/yassineaddi/BackdoorMan
#HackNic
Shadow77