Hướng dẫn php malicious code - mã độc php
Trải qua các thư mục cho các tệp với các tiện ích mở rộng PHP và các tệp kiểm tra theo các quy tắc văn bản hoặc regexp, các quy tắc dựa trên các mẫu tự thu thập và các malwares/webshell có sẵn công khai. Mục tiêu là tìm các tập tin bị nhiễm bệnh và chiến đấu chống lại những đứa trẻ, bởi vì dễ dàng bỏ qua các quy tắc. Chỉ cần sao chép kho lưu trữ hoặc với trình soạn thảo cài đặt trên toàn cầu Bỏ qua đối số có thể được sử dụng nhiều lần và chấp nhận phù hợp với kiểu Glob ex .: " Đối số mở rộng mặc định là "
Định dạng đầu raĐầu ra mặc định tùy thuộc vào các tham số được chỉ định, nhưng định dạng đầy đủ là " %s %t %m # { %f} %C %p # %l" và sử dụng màu ANSI. Các biến có thể là:
Mô hìnhCó ba tệp mẫu chính bao gồm các loại phù hợp mẫu khác nhau. Có một mẫu trên mỗi dòng. Tất cả các dòng trong đó ký tự đầu tiên là " 7" được coi là một nhận xét và không được sử dụng làm mẫu. Khoảng trắng trong các tập tin mẫu không được sử dụng.
Danh sách trắngXem tệp Whitelist.txt cho danh sách băm MD5 được xác định trước. Chỉ có 32 ký tự đầu tiên được sử dụng, phần còn lại của dòng bị bỏ qua, vì vậy hãy thoải mái để lại nhận xét. WordPress MD5 Sum WhitelistingBạn có thể tự động thêm md5sum từ các tệp lõi WordPress bằng cách chỉ định phiên bản là đối số vào - -wordpress -prestion hoặc -j. Thí dụ: Điều đó sẽ tự động nhận MD5sums từ API WordPress (https://api.wordpress.org/core/checksums/1.0/?version=x.x.x) và thêm nó vào danh sách trắng. Để kiểm tra phiên bản của bạn, chỉ cần kiểm tra tệp WP-includes/phiên bản.php của WordPress của bạn Kết hợp danh sách trắngDanh sách này là một cơ sở dữ liệu được tạo trước cho các dự án OpenSource thêm thông tin tại https://scr34m.github.io/php-malware-scanner/ trang web. Kiểm tra máy quét cho cơ sở dữ liệu Hiệu lực và chỉ tải xuống nếu nó khác biệt và tất nhiên khi đối số sử dụng. Công cụtext2base64.py Lấy một chuỗi văn bản làm đầu vào và trả về 3 chuỗi base64 tương đương. Kịch bản Python cần được thực thi từ thiết bị đầu cuối sẽ được sử dụng. Điều đáng chú ý là sự hiện diện của một trong ba chuỗi đầu ra trong một khối văn bản không đảm bảo 100% rằng chuỗi có mặt trong mã gốc. Đảm bảo rằng nếu chuỗi chủ đề có mặt trong mã gốc, thì một trong ba chuỗi đầu ra sẽ có mặt trong phiên bản Base64.
Một ví dụ: Sự hiện diện của 'ymfzzty0x2rly29kz' không đảm bảo rằng 'base64_decode' nằm trong mã văn bản đơn giản. Đảm bảo rằng nếu 'base64_decode' có mặt trong mã văn bản đơn giản, thì một trong ba chuỗi base64 này sẽ có mặt. Sự hiện diện của 'YMFZZTY0X2RLY29KZ' trong một khối mã có thể là do 'ASE64_DECOD' nằm trong mã gốc. ote các ký tự cạnh bị thiếu do sai lệch bit và chảy máu nhân vật. Sử dụng làm thư việnScan.php thực hiện kiểm tra, rằng nó được gọi bằng LineLine hay không, vì vậy để sử dụng làm thư viện sử dụng thư mục khác với scan.php IT.
require_once '../scan.php';
$scan = new MalwareScanner();
$scan->setFlagHideWhitelist(true);
$scan->setFlagHideOk(true);
$scan->run('../samples/test'); Tài nguyên
Cấp phépMáy quét phần mềm độc hại PHP được cấp phép theo giấy phép công cộng GNU V3. |