基于语法分析的PHP webshell扫描工具–Pecker Scanner

简介: 前段时间,在一位大牛的BLOG上看到其resume上撰写的开源项目列表琳琅满目,数不胜数。再跟自己对比一下,从来没有一个开源项目,没有成功的参加过一个开源项目,只是零星的贡献过几个所谓工具,脚本。

前段时间,在一位大牛的BLOG上看到其resume上撰写的开源项目列表琳琅满目,数不胜数。再跟自己对比一下,从来没有一个开源项目,没有成功的参加过一个开源项目,只是零星的贡献过几个所谓工具,脚本。顿时无地自容,同时也是羡慕不已,再暗自勉励鼓励自己,向这位大牛学习。也是在前段时间,遇到了一个正则的问题《为什么不能在字符组中使用反向引用》,使得我又跟着自己的思路,翻阅之前的博客,面包屑导航一般,跟着链接,走到了另外一篇博客《如何精确查找PHP WEBSHELL木马?》。写那篇博客时,是2010年7月,我还在久游网工作,工作内容也是代码安全相关。我最初的实现,也是基于正则表达式实现的字符串匹配,来捕捉查找危险代码。同时,也计划在二期里,用LEX+YACC来实现对PHP代码的精确分析,扫描查找,为此,也经常装模作样故弄玄虚的研究学习yacc、lex,学习PHP的Zend引擎实现方式,研究zend_language_scanner.lzend_language_parser.yzend_language_scanner.c等几个文件的编写思路等等等等。从我2月下旬入职,到11月初离职,总共7个多月的时间里,也并不是一直做这个项目,甚至这个项目只是作为我个人研究的范畴,平常工作中,只能利用空闲时间来研究。因为种种原因,在没有完成那个项目之后,离开了久游。不管是因为自己基础薄弱,还是时间不足还是什么原因,每次想起这件事,都因没有完成那个项目而觉得遗憾。

人总喜欢找借口,好比我前段时间,心里烦躁不安、胡思乱想,开始玩起了英雄联盟,从5月到现在,断断续续玩了5个月了。支持者的角度上想,人总不能一直紧绷着大脑,偶尔玩玩游戏,放松一下自己,又何尝不可?反对者的角度上来想,放纵自己堕落,还找理由,找借口?我有时赞同前者,有时赞同后者,现在,我就觉得既然都是找借口去做事情,为何不给自己找个借口,做一些有意义的事情呢?“那就努力开发维护一个开源项目吧”我心理暗暗这么说道,决定完成曾经的遗憾。

这线引得有点太长,也算是我的自我检讨与牢骚吧。

所谓扫描工具,先要扫描,才能找到需要的东西。对于代码扫描方式,实现方式大约是特征关键字的捕捉,正则表达式的语法匹配,语法语义分析这些。这些实现方式,准确性、严谨性也是层级递增的。

特征关键字方式,是最简单、最不准确的检测手段,上篇博客里有个比较好的例子:

01 // 声明:我喜欢自嘲,自黑,但不喜欢黑别人,也不喜欢在一些圈子里嚷嚷吵嘴。这里列出360的例子,也是因为机缘巧合,在面包屑的引导下,被引到了360的站长扫描网址中,下载了这个扫描工具,觉得这是一个非常好的反面例子,也希望大家能一学术角度来看待本文中提到的相关代码。
02 class scan{
03  private $directory = '.';
04  private $extension = array('php');
05  private $_files = array();
06  private $filelimit = 5000;
07  private $scan_hidden = true;
08  private $_self = '';
09  private $_regex ='(preg_replace.*\/e|`.*?\$.*?`|\bcreate_function\b|\bpassthru\b|\bshell_exec\b|\bexec\b|\bbase64_decode\b|\bedoced_46esab\b|\beval\b|\bsystem\b|\bproc_open\b|\bpopen\b|\bcurl_exec\b|\bcurl_multi_exec\b|\bparse_ini_file\b|\bshow_source\b|cmd\.exe|KAdot@ngs\.ru|小组专用大马|提权|木马|PHP\s?反弹|shell\s?加强版|WScript\.shell|PHP\s?Shell|Eval\sPHP\sCode|Udp1-fsockopen|xxddos|Send\sFlow|fsockopen\('(udp|tcp)|SYN\sFlood)';
10  private $_shellcode='';
11  private $_shellcode_line=array();
12  private $_log_array= array();
13  private $_log_count=0;
14  private $webscan_url='http://safe.webscan.360.cn/webshell/upload';
15  private $action='';
16  private $taskid=0;
17  private $_tmp='';

这里的正则的最后部分中文字符串那里|小组专用大马|提权|木马|PHP\s?反弹,这里的正则不是原本意义上的正则表达式了,只是简单的或逻辑,没有其他更严谨的匹配规则,所以只能当成简单的特征关键字来看待。比如代码或注释中出现螓首微微压下,右手倒提权杖电影《特洛伊木马》均被当作webshell来抓获了。这种实现方式,最不准确。

正则表达式匹配方式,是在特征关键字之后,更加准确的捕捉方式,但仍存在大量的误报、漏报情况,比如我在三年前写的python版php webshell检测工具里的代码:

1 match = re.search(r'''(?P<function>\b(?:include|require)(?:_once)?\b)\s*\(?\s*["'](?P<filename>[^;]*(?<!\.(?:php|inc)))["']\)?\s*;''', file_contents, re.IGNORECASE| re.MULTILINE)
2 match = re.search(r'\b(?P<function>eval|proc_open|popen|shell_exec|exec|passthru|system)\b\s*\(', file_contents, re.IGNORECASE| re.MULTILINE)
3 match = re.search(r'(^|(?<=;|=))\s*`(?P<shell>[^`]+)`\s*;', file_contents, re.IGNORECASE)

虽然可以更精确的匹配函数名符合的地方,字符串中出现的会被跳过,但仍无法排除注释中的代码,这种匹配结果,可以作为参考,仍需要管理人员认真校对每一个检测结果。当然,漏报情况,相比特征字符串的方式,要严谨的多。

语法语义分析形式,是根据php语言扫描编译的实现方式,进行剥离代码、注释,分析变量、函数、字符串、语言结构的分析方式,来实现关键危险函数的捕捉方式。这样可以完美解决漏报的情况。但误报上,仍存在问题。

01 public function startLexing($code)
02 {
03     if (preg_match('/<\?(php)?\s*@Zend;[\r\n|\n]+\d+;/', $code)) {
04         $this->errMsg = 'Encrypt with Zend optimizer.';
05         return false;
06     }
07     $this->resetErrors();
08     $this->tokens = token_get_all($code);
09     $this->code = $code;
10     $this->pos  = -1;
11     $this->line =  1;
12     return $this->checkError();
13 }

误报问题所在,一是被检测文件是否为合法php语法文件,token_get_all函数的实现,是不验证是否问合法php语法文件的,只是对其进行扫描,分析。而语法验证是比较难于试下你的地方。其次是代码中因为业务需要而出现的危险函数,如何排除掉,恶意代码如何界定?

服务器云判断是一种根据恶意代码串的指纹,根据大量后门数据,做语法、语义分析,做业务逻辑分析,理解这段代码的用途,给出其是否为恶意代码的定位,而其他使用者,直接可以得到该代码片段是否为恶意代码的结果反馈。Pecker Scanner首先是基于语法分析,剥离token、注释、字符串、变量、语言结构,再进行php语法检测,提取恶意代码的扫描工具,来解决漏报问题。同时支持服务器云判断,尽量避免误报问题。比如exec ($cfe,$res)在Discuz!中(只是举例)是正常的功能代码,而在木马后门中,这就是恶意文件。同样的一段代码,在不同的项目中,扮演着不同的角色,这也不能光凭借代码功能上判断,还得依赖所属项目。这需要大量的木马后门库,以及开源项目库希望大家可以帮着提交一些。

Pecker Scanner这个开源项目,托管在Github上,大家都可以fork它,完善它。目前Pecker Scanner生成的报告,跟服务器校对检验方式是通过jsonp方式通讯,若以后流量较高,则采用验证API形式,直接在pecker scanner代码中,根据api 、 key运算,post多个token代码段到服务器获取状态,展示到报告文件中。一来减轻jsonp这种大量http请求数。二来减少恶意无用的查询。

Pecker Scanner目前是beta 0.3版本,您可以在这里下载Pecker Scannerbeta 0.3版,不建议直接到github上下载,因为github上可能存在我正在调试的代码,或者不完善的新功能。

Pecker Scanner的项目主页在这里,以后的版本更新,新功能发布,也都会在这里公告。扫描报告样例在pecker scanner report样例,您可以先预览一下。
pecker scanner报告样例

Pecker Scanner Server目前收集的开源软件包括Discuz_7.2_FULL_SC_UTF8DedeCMS-V5.7-UTF8-SP1-Full;木马后门包括PhpSpy 2011PhpSpy 2013PhpSpy 2011加密版。其他开源项目以及木马后门,等待各位的反馈。

2013-09-24新增开源软件、webshell后门特征:

  • DedeCMS-V5.7-UTF8-SP1-Full
  • Discuz_7.2_FULL_SC_UTF8
  • Discuz_X3.0_SC_UTF8
  • Discuz_X3.1_SC_UTF8
  • espcms_utf8_5.7.13.09.10_b
  • HDWiki-v5.1UTF8-20121102
  • Joomla_2.5.14-Stable-Full_Package
  • Joomla_3.1.5-Stable-Full_Package
  • KingCMS_6.1.1641(Sp2)
  • none
  • phpcms_v9.4.2_UTF8
  • phpMyAdmin-4.0.7-all-languages
  • phpspy 2011
  • phpspy 2013
  • phpspy 2013 加密版
  • phpwind_UTF8_8.7
  • phpwind_v9.0_utf8
  • WeCenter_2-2-1
  • wordpress-3.6.1

您能做的:

  • 风险函数列表总结
  • 木马后门样本提供
  • 服务器赞助(目前暂时将Pecker Scanner Server部分托管在朋友的服务器上,目前流量还能支撑,若…)
  • 推广它(特别感谢黑哥的第一次推广,您的每一次使用,都是对我最大的支持)
  • 使用反馈(感谢bgho4t的第一个测试报告)

我能做的:

  • 默默的开发,悄悄的维护,轻轻的调试,偷偷的发布。
目录
相关文章
|
5月前
|
PHP SEO
最新版两款不同版SEO超级外链工具PHP源码
外链工具只是网站推广的辅助工具,一般适用于短时间内无法建设大量外链的新站,新站应坚持每天做一到两次为宜,大约一周左右能看到效果。老站不建议使用此类工具,老站应以优质内容建设为主,辅以交换优质的友情链接和高权重站点发布软文来建立外链方为上策
60 2
最新版两款不同版SEO超级外链工具PHP源码
|
算法 PHP 数据安全/隐私保护
【实战】php goto解密工具,无需安装php环境,直接解密
php goto解密方法,php解密工具,goto解密,php微擎解密,代码可读性,代码可维护性
698 1
|
11天前
|
设计模式 数据库连接 PHP
PHP中的设计模式:提升代码的可维护性与扩展性在软件开发过程中,设计模式是开发者们经常用到的工具之一。它们提供了经过验证的解决方案,可以帮助我们解决常见的软件设计问题。本文将介绍PHP中常用的设计模式,以及如何利用这些模式来提高代码的可维护性和扩展性。我们将从基础的设计模式入手,逐步深入到更复杂的应用场景。通过实际案例分析,读者可以更好地理解如何在PHP开发中应用这些设计模式,从而写出更加高效、灵活和易于维护的代码。
本文探讨了PHP中常用的设计模式及其在实际项目中的应用。内容涵盖设计模式的基本概念、分类和具体使用场景,重点介绍了单例模式、工厂模式和观察者模式等常见模式。通过具体的代码示例,展示了如何在PHP项目中有效利用设计模式来提升代码的可维护性和扩展性。文章还讨论了设计模式的选择原则和注意事项,帮助开发者在不同情境下做出最佳决策。
|
12天前
|
设计模式 算法 PHP
PHP中的设计模式:策略模式的深入探索与实践在软件开发的广袤天地中,PHP以其独特的魅力和强大的功能,成为无数开发者手中的得力工具。而在这条充满挑战与机遇的征途上,设计模式犹如一盏明灯,指引着我们穿越代码的迷雾,编写出更加高效、灵活且易于维护的程序。今天,就让我们聚焦于设计模式中的璀璨明珠——策略模式,深入探讨其在PHP中的实现方法及其实际应用价值。
策略模式,这一设计模式的核心在于它为软件设计带来了一种全新的视角和方法。它允许我们在运行时根据不同情况选择最适合的解决方案,从而极大地提高了程序的灵活性和可扩展性。在PHP这门广泛应用的编程语言中,策略模式同样大放异彩,为开发者们提供了丰富的创作空间。本文将从策略模式的基本概念入手,逐步深入到PHP中的实现细节,并通过一个具体的实例来展示其在实际项目中的应用效果。我们还将探讨策略模式的优势以及在实际应用中可能遇到的挑战和解决方案,为PHP开发者提供一份宝贵的参考。
|
2月前
|
存储 算法 网络安全
二进制加密PHP Webshell原理及简单实现
二进制加密PHP Webshell原理及简单实现
63 8
|
2月前
|
PHP 开发者 UED
PHP中的异常处理:从基础到高级探索Python中的列表推导式:简洁而强大的工具
【8月更文挑战第30天】在PHP编程的世界中,异常处理是确保代码健壮性和可靠性的关键机制。本文将引导您了解PHP异常处理的基本概念,并通过实际示例展示如何有效地捕获和处理异常。我们将一起探索try-catch结构、自定义异常类以及高级异常处理技术,让您的PHP代码更加稳固和易于维护。
|
5月前
|
算法 PHP 数据安全/隐私保护
【实战】PHP代码逆向工具,轻松还原goto加密语句的神器!
`goto解密工具`是一款针对PHP的在线神器,能有效解密和还原goto加密代码,提升代码可读性和可维护性。支持单文件及50M压缩包一键解密,提供全效解决方案。通过实际案例展示了解密报错和理解复杂代码的能力,是PHP开发者解决goto难题的得力助手。立即体验:[在线PHP解密大师](https://copy.kaidala.com/dala/goto/index.html)。
90 1
|
5月前
|
算法 PHP 数据安全/隐私保护
【必备工具】解密PHP超强在线工具,一键goto代码解密
goto解密工具,php开发者的福音,能有效解密复杂的goto加密代码,提升代码可读性和可维护性。支持单文件及项目目录一键解密,最大处理50M压缩文件。通过具体案例展示其在解决报错和理解复杂开源项目中的强大功能。立即体验:https://copy.kaidala.com/dala/goto/index.html
261 0
|
IDE NoSQL 关系型数据库
开发php,需要安装哪些工具
开发php,需要安装哪些工具
|
10月前
|
数据采集 监控 JavaScript
巧用简单工具:PHP使用simple_html_dom库助你轻松爬取JD.com
本文将介绍如何使用PHP语言和一个简单的第三方库simple_html_dom来爬取JD.com的商品信息。simple_html_dom是一个轻量级的HTML解析器,它可以方便地从HTML文档中提取元素和属性,而无需使用正则表达式或DOM操作。本文将通过一个实例来展示如何使用simple_html_dom库来爬取JD.com的商品名称、价格、评分和评论数,并将结果保存到CSV文件中。本文还将介绍如何使用代理IP技术来避免被目标网站封禁或限制。
巧用简单工具:PHP使用simple_html_dom库助你轻松爬取JD.com