分享一款php webshell检测工具

PHP-malware-finder 是一款优秀的检测webshell和恶意软件混淆代码的工具，比如以下组件都可以被检测发现。

Best PHP Obfuscator
Carbylamine
Cipher Design
Cyklodev
Joes Web Tools Obfuscator
P.A.S
PHP Jiami
Php Obfuscator Encode
SpinObf
Weevely3
atomiku
cobra obfuscator
phpencode
tennc
web-malware-collection
webtoolsvn
novahot

工作原理

PHP-malware-finder的检测原理是基于YARA规则爬取文件系统和测试文件，如可以发现经过两次编码、解压的危险参数。

使用方法

两种使用方法:

$ ./phpmalwarefinder -h Usage phpmalwarefinder [-cfhtv] [-l (php|asp)] <file|folder> ... -c Optional path to a configuration file -f Fast mode -h Show this help message -t Specify the number of threads to use (8 by default) -v Verbose mode -l Set language ('asp', 'php')

也可以这样:

$ yara -r ./php.yar /var/www
$ yara -r ./asp.yar /var/www

可以通过修改yar文件添加规则: