findWebshell – 基于python的webshell检查工具

  • 发表于
  • webshell

findWebshell简介

findWebshell是一款基于python开发的webshell检查工具/webshell扫描工具,可以检查任意类型的webshell后门。
该工具具有一定的扩展能力,能够通过字典添加以及插件开发两种方式,对findwebshell进行扩展。

因为是基于python开发的小工具,只要有python运行环境就可以了。

https://github.com/he1m4n6a/findWebshell

使用说明

示例

扫描结果:

findWebshell

开发文档

字典添加

directory目录下的sensitiveWord.py定义的是后门中的敏感关键字,可以手动添加,格式为{"关键字":"类型"}

directory目录下的webshell.py定义的是webshell列表,直接添加webshell到列表里

插件开发

命令规范

插件命名格式:网页类型_后门类型-plugin.py,示例

函数规范和返回值,函数格式

示例

我们扩展的插件基本上是基于一个原理,即通过正则表达式在读入的文件内容筛选出可疑的字段,从而判断是否存在特定类型的webshell,这样的方式一般需要较为强大的webshell特征代码储备,但是其本身还是对文件内容的扫描,并没有基于行为等。

优点

  1. 开源
  2. 文件小,扫描速度快
  3. 容易扩展,存在字典方式和插件方式,这两种方式。

缺点

  1. 字典方式和插件方式都是静态的,是基于对webshell文件名、敏感文件内容文本或者webshell内容中的特征代码的识别。其实现方式还是比较简单粗暴的。