牛牛逼逼叉叉
菜单

linux python版webshell智能查杀程序-SeayFindShell

2016年06月14日,分类《工具》,作者:
博客捐助

这是我2013年写的一个linux下的webshell查杀程序,基于python开发。

程序下载地址:http://pan.baidu.com/s/1jGKFW6y

程序截图:

plus

使用方法:

python main.py 查杀路径  

python main.py 查杀路径  时间("2014-01-01 12:11:13")

程序特点说明:

1.这款查杀程序采用插件化实现,可以对新型的web后门添加自定义的查杀插件,现有的10余款插件已经能够查杀目前常见的大部分web后门,不过要注意的是现有的插件大多数都是查杀PHP后门的,asp及aspx不在覆盖范围,jsp的插件较少,因为当初写这个程序是为了解决linux下的webshell查杀问题。该程序插件判断一个文件是不是后门,采用了针对文件代码和属性的多重逻辑判断,以极大的降低误报率和漏报率。

2.智能查杀,这款查杀程序实现了读PHP的变量简单跟踪,能够查杀大量变异后门,比如

<?php
$a=$_POST['a'];
#fdsffd
$b='feafdea';
assert($a);
?>

这类的后门,程序会自动追踪assert函数内的$a变量输入来源,如果发现参数可控,则会报警。当然它还支持include、file_put_contents等后门查杀。

Cfakepath100

3.加密后门查杀,这款查杀程序收集了大量加密后门特征,能够将加密后门精确识别并查杀,像zend加密、base64等加密都有专门的查杀插件。

23

4.针对PHP动态函数后门,由于PHP函数名可以当成字符串来改变的特性,导致查杀关键字很难定位,这款程序有专门针对PHP动态函数后门的插件。

6

5.针对型查杀插件,这款程序有专门针对PHPDDOS后门的查杀功能,集合了目前常见的PHPDDOS脚本特征

11

6.根据文件最后修改时间查找后门,为了照顾到小白服务器管理员,特意加入了根据文件最后修改时间查找后门文件,默认程序只会查找php和jsp文件的最后修改时间,如有需要查找其他扩展名的文件,只需要修改main.py即可。

88

7. 人性化显示,根据本人这几年的应急响应经验,本程序会自动输出我们需要的信息,包括后门路径、后门描述、后门代码以及文件最后修改时间。

本人目前收集的webshel数百个webshell已经覆盖绝大部分,程序考虑到性能和误报问题,使用的规则是根据经验来编写,请不要乱喷怎么样简简单单能绕过查杀,能干掉大部分的杀毒软件就是好杀毒软件。



发表评论

电子邮件地址不会被公开。 必填项已用*标注

【上一篇】

如何优雅地使用 VIM 文件管理插件 NERDTree

【下一篇】

mysql数据库单机数十亿数据查询设计