Ce petit projet est pas mal, il consiste à chercher des backdoors sur les fichiers PHP via une recherche mot clé. En effet, une simple obfuscation d’un shell PHP permet bien souvent de bypass les scanners.

Voici le projet : https://github.com/yassineaddi/BackdoorMan

A défaut d’un dossier précis à scanner, je vais utiliser un thème disponible ici : https://github.com/fructify/theme

Pour ce qui est de la création de mon petit espace d’expérience :


git clone https://github.com/yassineaddi/BackdoorMan
cd BackdoorMan
git clone https://github.com/fructify/theme

Pour scanner le dossier, il suffit de faire :


./BackdoorMan theme

Moi j’obtiens 4 fichiers suspects qui sont clairement des faux positifs mais c’est vraiment intéressant de voir la manière d’analyse et la possibilité de récupérer le mot clé qui est en cause.
Pour le plaisir, on va créer un shell PHP avec weevely et relancer le scan :


cd theme
weevely generate test test.php

Voici l’analyse de la commande pour ceux qui ne connaissent pas :

  • generate : création
  • test : mot de passe du shell
  • test.php : nom du shell

Et c’est parti, on relance le scan :


cd ..
./BackdoorMan theme

Et là… BackdoorMan est capable de détecter du weevely 😎


[M] Suspicious Activity: test.php
 |  Activity: $slkv($ss(mkvd5(kv$i.kv$kf)
 |  Line Number: 12
 |  Full Path: theme/test.php
 |  Owner: 0:0
 |  Permission: 644
 |  Last Accessed: Fri Dec 16 08:42:24 2016
 |  Last Modified: Fri Dec 16 08:41:55 2016
 |  File Size: 1.4KiB

On voit clairement qu’il a vu l’obfuscation de weevely, et c’est bien pratique !
Toutefois je regrette qu’il ne déclare pas weevely comme malicieux et non seulement suspicieux 😋

Juste pour rigoler, un petit scan de mon shell PHP weevely :

Voici le scan du shell ultra connu C99 : https://www.virustotal.com/fr/file/0491472790d885bfabbf8b7e564aaeb7d577a99330e288601d7da0bf101dd6b6/analysis/1481874784/

Weevely Power ! 😎