Existe una cantidad de formas y mecanismos a la hora de buscar malware en un servidor Web, la primera vimos haciendo foco en las funciones peligrosas de PHP, ahora vamos a buscar Malware por su nombre.
Así como en Internet encontramos una gran cantidad de contenido para mejorar la seguridad de los proyectos, tambien encontramos lo que se conocen como Backdoor o puertas traseras, WebShell y casi cualquier malware, que una vez dentro de un servidor web realmente puede tener un acceso remoto completo.
El día de hoy les propongo abordar esta problemática buscando malware y utilizando un diccionario de nombres y combinando algunos comandos en Bash crear un pequeño pero muy útil script que no puede faltar como una primera pasada al momento de explorar los directorios y archivos.
Buscar Malware por su nombre
Lo primero que vamos a hacer es utilizar el diccionario de SecLists que para este caso me parece genial y clonarlo desde su repositorio en GitHub
$ git clone https://github.com/danielmiessler/SecLists.git
Los siguiente es explorar el diccionario donde se encuentra los nombres de estos Backdoor, por lo menos los más reconocidos.
$ cd SecLists/Discovery/Web-Content
$ less CommonBackdoors-PHP.fuzz.txt
Ahora iniciamos la creación de nuestro script en Bash
LISTA=(cat SecLists/Discovery/Web-Content/CommonBackdoors-PHP.fuzz.txt)
for ARCHIVO in $LISTA
do
find /var/www/html/wordpress/ -type f -name $ARCHIVO
done
Rápidamente, para entender este Script, lo que hace es ir recorriendo el diccionario línea por línea, como cada línea es el nombre de un archivo utilizamos el comando find
dentro del bucle para buscar este archivo en todo el proyecto, en este caso es un WordPress alojado en /var/www/html/wordpress
y así con cada nombre.
Si alguno llega a coincidir, nos va a dejar el nombre y PATH completo para que lo podamos analizar de forma aislada.
Luego a este script podemos añadirle muchos controles más y optimizarlo de varias formas, sin embargo como una Prueba de Concepto es realmente útil y rápido de implementar.
Como vieron, algo sumamente simple y útil a la hora de buscar malware por su nombre en nuestros servidores web.
0 comentarios