Tengo un archivo sheller de PHP (como el archivo c99) pero está codificado con estas funciones:
eval(gzinflate(base64_decode("7P3rehblahblah"))
El escaneo de virus clamav no puede detectarlo. ¿Cómo puedo detectar un virus y sheller así?
ClamAV posiblemente no sea el producto correcto para identificar las carcasas de php. Esto se debe a que hay infinitas formas de codificar el shell y no está diseñado para entender el código PHP.
Hay otras tecnologías que están más diseñadas para detectar código PHP malicioso. Emphosha es una alternativa que comprende el preprocesador php y puede generar advertencias basadas en las funciones que se consideran utilizadas para ofuscar el código. para detectar conchas conocidas.
Los detectores de malware basados en firmas solo pueden ser tan buenos como la base de datos de firmas que tienen disponibles. Esto lo convierte en un excelente modelo de negocios para los proveedores de dichos productos: la base de datos siempre necesitará una actualización para admitir el nuevo malware. Escribir analizadores de malware basados en heurísticas es realmente difícil: los que he analizado en profundidad proporcionan cobertura adicional a los ataques de día cero, pero no mucho.
Un enfoque alternativo para tratar de encontrar cosas malas es hacer un seguimiento de las cosas buenas utilizando un IDS basado en host. Esto tiene que estar integrado en su proceso de implementación. Además, no puede aplicarse a los artefactos considerados como datos: considere CVE-2014-8449 o CVE-2016-8332; la mayoría de los servicios realizan algún tipo de transformación o almacenamiento de datos, por lo tanto, están diseñados para ingerir datos. El IDS no puede validar el contenido que no se le ha dicho que es bueno.
Una extensión del concepto de seguimiento de firmas de archivos está ejecutando una plataforma confiable, donde todos los ejecutables deben tener su firma verificada antes de ejecutarse, sin embargo, esto es computacionalmente costoso, más costoso en cuanto a mantenimiento y los principales actores en este mercado tratan es un mecanismo para proteger su monopolio, y con frecuencia no logra extender completamente la cobertura a los artefactos considerados como datos.
Otra consideración es que cualquier componente en línea (y algunos fuera de línea) aumenta su superficie de ataque. Lamentablemente, solo porque dice "Seguridad" en la caja, cualquier perno en el producto puede agregar vulnerabilidades a su sistema.
La solución más rigurosa es utilizar una combinación de escáneres heurísticos / de firma junto con un IDS.
Use CXS y agregue regall:quaratine:\$msg\=@gzinflate\(@base64_decode\(@str_replace a su cxs.xtra.
Pondrá en cuarentena todo el código con esa cadena.