PHPShell je php skript, který vám umožňuje spouštět příkazy shellu na webovém serveru. Škodlivý skript php shell - odkud rostou nohy Co je to php shell

Nedávno jsem na obrovském prostoru internetu narazil na zmínku o „ PHP Shell". Před pár lety mi tato utilita hodně pomohla a nyní se chci zadlužit jejímu vývojáři Martinu Geislerovi (http://mgeisler.net/).

Jaký je účel „PHP Shell“? Věřím, že každý "pokročilý" webový programátor, natož sysadmin, se setkal a používal SSH. SSH nám umožňuje vzdálený přístup k serveru a spouštění příkazů shellu na něm (dobře, existují různé příkazy, jako je procházení adresářů tam a zpět, nahoru a dolů, přesouvání, mazání a kopírování souborů, spouštění skriptů a různé chytré nástroje ), jako by byl kabel k vašemu monitoru systémová jednotka se prodloužil do neuvěřitelných velikostí a dostal se na server hostitele. Musím říci, že je možné tunelovat přes ssh a X-graphics, obrázek plochy zobrazující spuštěné okenní aplikace, ale to zjevně není pro webové servery.

Zkrátka pokud na hostingu nemáte SSH, tak „co je v dánském království špatně“. Nevýhodou je, že na vašem „čerstvém“ webu je SSH často ve výchozím nastavení zakázáno a nějakou dobu trvá, než se s podporou ssh poperete. Přesně to se stalo onoho vzdáleného zimního večera. Naléhavě jsem potřeboval přenést místo z jednoho stroje na druhý, při čemž se objevily problémy, a obvykle jsem sáhl po zkratce tmelu na ploše, abych viděl, co je „uvnitř“ pacienta. Jejda...a podpora ssh není aktivována. Jak být? Pokud jste dostatečně zruční v programování v nějakém jazyce tam, pak nebude těžké napsat malý skript, který implementuje požadovaný úkol. Otevřel jsem google a po projetí několika odkazů jsem našel zmínku o PHP Shell. Zkrátka jsem z domova odešel včas.

Po pravdě řečeno, měl jsem velké štěstí, že jsem měl dost omezených možností shellu, které mi PHP Shell poskytl – stále je to jeho napodobenina.

Ve svém jádru používá PHP Shell php funkce- proc_open. Tato funkce spustí příkaz a otevře I/O streamy, aby do aplikace vložila nějaké informace (imitující ruční zadávání jako na klávesnici) a vydala výsledky práce (pokud víte, co jsou roury, pak o nich mluvíme ). Funkce proc_open je ve skutečnosti vylepšená a rozšířená verze exec nebo systémových funkcí. Ti však program pouze spustili a nedali možnost s ním interagovat, museli jste okamžitě v parametrech příkazový řádek zadejte všechna data nezbytná k tomu, aby příkaz fungoval. proc_open vám umožňuje vytvářet roury spojené s vaším php-scriptem a podle toho můžete simulovat zadávání dat do programu a číst výsledky jeho práce. Pro milence hosting zdarma Hned vám řeknu:

"NE, NEBUDETE MOC ZÍSKAT PŘÍSTUP SSH POMOCÍ PHP Shell."

Jde o to, že pro bezplatný nebo velmi levný hosting je zvykem spouštět php v safe_mode. Je v něm zakázána řada funkcí, včetně proc_open.

"NE, INTERAKTIVNÍ SOFTWARE NEBUDETE MOHL OBSLUHOVAT POMOCÍ PHPSHELL."

Samotná podstata webu nám říká, že na vzdáleném serveru není možné spustit nějaký program, který by nadále fungoval a umožňoval by nám zadávat a vypisovat data během několika samostatných http požadavků.

"NE, NEMŮŽETE ZÍSKAT PŘÍSTUP KE VŠEM PROGRAMŮM, SOUBORŮM A SLOŽKÁM NA SERVERU."

Skript běží buď jménem apache, a pak jsou jeho možnosti omezeny pouze tím, že práva k účtu apache. Nebo jako možnost, pokud je na hostingu použit suexec (http://en.wikipedia.org/wiki/SuEXEC), budou se vaše práva shodovat s právy účet ze kterého se spouští php skript.

Předpokládejme, že vás to nezastaví a stáhli jste a rozbalili archiv na vašem serveru do složky, řekněme phpshell. Pokud do adresního řádku prohlížeče zadáte „nějak-nazvaný-vaše-stránky / phpshell / phpshell.php“, budete požádáni, abyste se představili, zadali své jméno a heslo – samozřejmě se nejedná o přihlašovací údaje, které jste obdrželi od svého hostitele

Musíte tedy nastavit oprávnění: kdo může přistupovat k shellu prostřednictvím tohoto nástroje. Chcete-li to provést, vyhledejte v souboru config.php sekci uživatelů a přidejte do ní uživatelské jméno a heslo v následujícím tvaru:

Vasyano = tajemství

Pokud jste zmateni tím, že heslo je nastaveno jako čistý text, pak pomocí souboru pwhash.php zjistíte skládání hesla md5 a bude uloženo v souboru config.php

Nyní se pokusíme vstoupit znovu a dostat se do okna, kde ve spodní části okna zadáme příkaz, klikneme na "start" a následně se výsledek jeho provedení zobrazí ve středu okna stránky

To je vše, třeba ti nějak pomůže phpshell.

Byl zjištěn škodlivý skript WSO PHP shell /libraries/simlepie/idn/OpenIDOpenID.php (web Joomla! 3). Na tento moment definované pouze některými antiviry jako JS / SARS.S61, PHP: Decode-DE, Trojan.Html.Agent.vsvbn, PHP.Shell.354, php.cmdshell.unclassed.359.UNOFFICIAL.

Jednoho „hezkého“ dne (je to jako každý) obdržel jeden z našich svěřenců (http://ladynews.biz) v důsledku skenování svého webu pomocí antivirového hostingu tuto zprávu:

V účtu byly nalezeny soubory se škodlivým obsahem. Důrazně doporučujeme omezit přístup k vašemu FTP účtu pouze z IP adres, které používáte, a také používat antivirovou ochranu pro kontrolu vašeho účtu na viry. Podívejte se na naše pokyny pro bezpečnost a prevenci hackerů, abyste zabránili reinfekci.

Samozřejmě bylo navrženo se s touto ostudou vypořádat - skenování standardním antivirem ClamAV se sadou výchozích antivirových databází nepřineslo žádný další výsledek.

V době začátku tohoto příběhu (2015-10-23) tento skript virového shellu chyběl v antivirových databázích většiny antivirů, včetně takových "monster" jako Comodo, DrWeb, ESET-NOD32, GData , Kaspersky, McAfee, Microsoft, Symantec, TrendMicro atd., což potvrdil i online skener VirusTotal dne 23.10.2015. Pouze několik antivirů dokázalo identifikovat škodlivý skript PHP:

Antivirus Datum výsledku aktualizace AhnLab-V3 JS / SARS. S61 20151022 Avast PHP: Decode- DE [Trj] 20151023 NANO- Antivirus Trojan. Html. Činidlo. vsvbn 20151023

Ve stejný den byly ClamAV a Dr.Web upozorněny na zjištění škodlivého skriptu. ClamAV stále zarytě mlčí a Dr.Web na škodlivý balíček zareagoval do 24 hodin:

Vaše žádost byla analyzována. Odpovídající záznam byl přidán do virové databáze Dr.Web a bude dostupný během příští aktualizace.

Hrozba: PHP.Shell.354

Dr.Web dodržel svůj slib a virový skript OpenIDOpenID.php je nyní definován jako PHP.Shell.354, nicméně mnoho antivirů jako ClamAV, Comodo, DrWeb, ESET-NOD32, GData, Kaspersky, McAfee, Microsoft, Symantec, TrendMicro, atd. o tom zatím nemají ani ponětí (stav k 25.10.2015).

Dobře, soubor jsme smazali, ale na jak dlouho? Odkud se vzal, můžeme jen hádat. Co bude dál? Začínáme vkládat nejrůznější komponenty Securitycheck a překrucujeme pravidla v .htaccess zakazující přístup ke všemu a všem, protože na sdíleném hostingu (aka Sdílený hosting, sdílený hosting) nemáme žádné pravomoci. Jak dlouho tato opatření zachrání, nikdo neví.

Mimochodem, k tématu jakýchkoli komponent Securitycheck ... Securitycheck je komponenta pro Joomla! a docela dobrý. A tady je jistá "Antivirová ochrana webových stránek" naprostá kravina, kterou všem velmi odrazuji od používání, zde je praxí ověřená recenze této "Antivirové ochrany webových stránek":

Tato komponenta také vytvoří soubor pack.tar ve vašem / tmp, který obsahuje konfigurační.php a všechna další nalezená hesla! BUĎTE VĚDOMÍ

Což v překladu znamená: „tato složka také vytváří záloha celý web v souboru /tmp/pack.tar, který obsahuje configuration.php s hesly z databáze! POZOR "- to znamená, že" Ochrana webových stránek "z této komponenty nevoní, což by také mělo vést oběť k zamyšlení nad změnou cest k adresářům / logs, / tmp, / cache a zamezení přístupu k nim.

Kliknutím na tento odkaz můžete pochopit, že problém je starý nejméně rok. Když se podíváme sem, pochopíme, že maskování skriptu shellu neprovádí záludný base64_encode / gzdeflate, což znamená, že někde jinde musí být část, která volá/připojuje OpenIDOpenID.php a provádí base64_decode / gzinflate. To znamená, že OpenIDOpenID.php je pouze výsledkem (neboli důsledkem), a nikoli důvodem, proč si oběť stěžuje, že server začal posílat spam v průmyslovém měřítku a ruční odstranění nepomáhají škodlivé soubory, načež si oběť nemá na koho stěžovat kromě hostingu NIC-RU. "Děravý" virtuální hosting může být velmi dobrý. i casto tam IMHO lidi delaji pro plat, a ne pro napad, ale v nekterych pripadech muze byt problem mnohem hlubsi.

Například „V souboru Adobe Flash byl zjištěn škodlivý injektor iFrame“. Myslím, že pro nikoho není tajemstvím, že můžete psát rozhraní pro nahrávání souborů na web ve Flashi a dělat mnoho dalších zajímavých věcí v ActionScriptu. Virus v souborech .swf ( Adobe flash), jak ukázala praxe, může zůstat bez povšimnutí roky a být černými dveřmi na místě ( aka back door - zadní vrátka), přes které se „vyhazují“ soubory jako „OpenIDOpenID.php“, které lze smazat do zmodrání a bez úspěchu.

Co dělat, jak najít „slabý článek“ mezi tisíci souborů? K tomu je potřeba využít tzv. heuristickou analýzu a v některých případech použít antivirové databáze třetích stran. Je třeba mít na paměti, že heuristická analýza může v závislosti na jejím nastavení poskytnout mnoho falešných pozitiv než při použití dalších virových signatur od vývojářů třetích stran.

Kde mohu získat antivirové databáze třetích stran? Například databáze s antivirovými signaturami třetích stran pro ClamAV lze získat zdarma na www.securiteinfo.com, malwarepatrol.net, rfxn.com. Jak mohu tyto dodatečné antivirové databáze používat? Tohle bude úplně jiný příběh. Můžeme pouze říci, že další antivirové databáze pro ClamAV od rfxn.com (projekt LMD (Linux Malware Detect)) jsou zaměřeny na vyhledávání malwaru ve webových aplikacích a poskytují lepší výsledky. rfxn.com také uvádí, že 78 % hrozeb, jejichž otisky jsou v jejich databázi, není detekováno více než 30 komerčními antiviry – a s největší pravděpodobností ano.

Takže ... Jak skončil příběh se škodlivým PHP shell skriptem OpenIDOpenID.php?

Bylo rozhodnuto dodat další zásoby antivirové databáze pro ClamAV z malwarepatrol.net a rfxn.com si stáhněte záložní kopii souborů webu a naskenujte je lokálně, zde je výsledek kontroly:

$ clamscan / ladynews.biz / ../ game_rus.swf: MBL_647563.UNOFFICIAL FOUND / ../ farmfrenzy_pp_rus.swf: MBL_647563.UNOFFICIAL FOUND / ../ FICPARTYcraze_rus.swf.swf /23UNICOFFLY75OUND: MBL_293OUND / loader_rus.swf: MBL_647563.NALEZENO NEOFICIÁLNĚ ----------- SHRNUTÍ KONTROLY ------------ Známé viry: 4174348 Verze enginu: 0.98.7 Kontrolované adresáře: 3772 Kontrolované soubory: 18283 Infikované soubory: 5 Celkový počet chyb: 1 Naskenovaná data: 417,76 MB Načtená data: 533,51 MB (poměr 0,78: 1) Čas: 1039,768 s (17 m 19 s)

/libraries/simlepie/idn/OpenIDOpenID.php jak je uvedeno výše, soubory .swf byly smazány, ale je problém vyřešen? Těžko zatím říct - kopeme dál...

Z dešifrované verze souboru /libraries/simlepie/idn/OpenIDOpenID.php(http://pastebin.com/WRLRLG9B) pohledem na konstantu @define ("WSO_VERSION", "2.5"); , je jasné, že se jedná o produkt s názvem WSO. Po prozkoumání sítě pro klíčové slovo WSO byly získány následující výsledky:

Ukazuje se, že téma není dlouho nové, a tak vybíráme regexxer do zubů, pokračujeme ve sbírání souborů webu a nacházíme: Chyba při otevírání adresáře "/ home / user / libraries / joomla / cache / controller / cache ": Přístup odepřen

Aha, tady máš, s.ka kde jinde seranulo! Podíváme se na práva k adresáři, která by ve výchozím nastavení neměla být = chmod 111 (aka Run for Owner / Group / All). Něco tedy někde sedí a šíří se katalogy a schovává se i před viry s chmod 111.

Po instalaci chmod 551 pro katalog a pohledu dovnitř bylo nalezeno /libraries/joomla/cache/controller/cache/cache/langs.php, jehož zdrojový kód je dostupný zde: http://pastebin.com/JDTWpxjT - adresář / libraries / joomla / cache / controller / cache vymazat.

Skvělé, nyní jsme seřadili chmods pro všechny soubory a adresáře:

# hromadná změna práv (chmod) na soubory v adresáři. / dirname a níže najít / home / user / public_html -type f -exec chmod 644 () \; # hromadná změna oprávnění (chmod) na. / dirname a níže najít / home / user / public_html -type d -exec chmod 755 () \;

Ještě jednou zopakujeme antivirovou kontrolu s dalšími databázemi clamscan /ladynews.biz, ale vše je prý čisté.

Opakujeme hledání souborů pomocí regexxer a pokusíme se hledat podle klíčová slova OpenIDOpenID, OpenID nebo WSO – a došli jsme k závěru, že p.det se ukázal být mnohem širší a hlubší:

• - nemělo by to být zde, zde je jeho zdroj: http://pastebin.com/jYEiZY9G
• /administrator/components/com_finder/controllers/imagelist.php- nemělo by to být zde, zde je jeho zdroj: http://pastebin.com/0uqDRMgv
• /administrator/components/com_users/tables/css.php- nemělo by to být zde, zde je jeho zdroj: http://pastebin.com/8qNtSyma
• /administrator/templates/hathor/html/com_contact/contact/toolbar.trash.html.php- nemělo by to být zde, zde je jeho zdroj: http://pastebin.com/CtVuZsiz
• /components/com_jce/editor/tiny_mce/plugins/link/img/Manager.php- nemělo by to být zde, zde je jeho zdroj: http://pastebin.com/2NwTNCxx
• /libraries/joomla/application/web/router/helpsites.php- nemělo by to být zde, zde je jeho zdroj: http://pastebin.com/ANHxyvL9
• /plugins/system/ytshortcodes/XML.php- nemělo by to být zde, zde je jeho zdroj: http://pastebin.com/GnmSDfc9
• /templates/index.php - nemělo by to být zde, zde je jeho zdroj: http://pastebin.com/gHbMeF2t

/administrator/components/com_admin/index.php a /templates/index.php byly pravděpodobně vstupní skripty, které spouštěly hlavní kód pomocí vysoce zastaralé funkce eval (), která také používala:

No, logika maskování škodlivého kódu je jasná. Pokud nyní hledáme konstrukt „eval ($“, najdeme mnohem více zajímavých věcí:

• /administrator/components/com_admin/sql/updates/postgresql/php.php- http://pastebin.com/gRHvXt5u
• /components/com_kunena/template/blue_eagle/media/iconsets/buttons/bluebird/newsfeed.php -
• /components/com_mailto/helpers/index.php -
• /components/com_users/views/login/file.php -
• /components/com_users/controller.php- infikován a vyžaduje výměnu!
• /includes/index.php -
• /libraries/joomla/string/wrapper/section.php -
• /libraries/legacy/access/directory.php -
• /libraries/nextend/javascript/jquery/InputFilter.php -
• /libraries/nextend/smartslider/admin/views/sliders_slider/tpl/config_tinybrowser.php -
• /libraries/xef/assets/less/admin.frontpage.php -
• /media/editors/codemirror/mode/rust/Alias.php -
• /modules/mod_kunenalatest/language/zh-TW/smtp.php -
• /modules/mod_kunenalogin/language/de-DE/XUL.php -
• /plugins/content/jw_allvideos/jw_allvideos/includes/js/mediaplayer/skins/bekle/CREDITS.php -
• /templates/sj_news_ii/html/mod_sj_contact_ajax/toolbar.messages.php -

Ne všechny stále virové PHP skripty mají kód zveřejněný na pastebin.com, protože je povoleno pouze 10 publikací během 24 hodin. PROTI obecný řád odstranění je zhruba následující:

Ano, málem bych zapomněl - před zahájením odstraňování škodlivých skriptů nebude na škodu přidat do .htaccess několik pravidel, která zakazují přímý přístup k jakémukoli souboru .php v libovolném adresáři, ale umožňují přístup pouze ke kořenovým souborům / nebo /index .php a / administrator / nebo /administrator/index.php - toto zablokuje ošklivému útočníkovi přístup k příchozím skriptům shellu skrytým v různých systémových adresářích:

(hospoda) (/ hospoda) (reg)

# --- +++ OCHRANA NĚKTERÝCH SOUBORŮ A ADRESÁŘE +++ ---# RewriteCond% (REQUEST_URI)! ^ / ((Index) + \. Php |. * \. (Htm | html | txt | xml) | + |. * / + |. * /. * \. (Css | js | jpg | jpeg | png | gif | ico | eot | svg | ttf | woff | woff2 | html) +)? $ RewriteCond% (REQUEST_URI)! ^ / (administrátor) + / (index \ .php)? $ RewriteRule ^ (. *) $ - # # --- +++ // OCHRANA NĚKTERÝCH SOUBORŮ A ADRESÁŘE +++ ---

UPD 2015-10-28: No, co? Už jsi uvolněný? Je příliš brzy...

Nyní se podíváme do divočiny souborů webu na binární soubory, které by v enginu vůbec neměly být:

find / mypath / -executable -type f find / mypath / -type f -perm -u + x find / mypath / -type f | xargs soubor | grep "\: \ * data $"

Kdo hledá, vždy najde (binárky):

• /modules/mod_p30life_expectancy_calc/tmpl/accordian.pack.js
• /images/stories/audio/34061012-b1be419af0b9.mp3
• /libraries/xef/sources/folder/navigation.php
• /libraries/joomla/application/web/application.php
• /libraries/joomla/document/json/admin.checkin.php
• /libraries/nextend/assets/css/LICENSES.php
• /libraries/fof/config/domain/toolbar.categories.html.php
• /libraries/fof/form/field/client.php
• /libraries/phputf8/sysinfo_system.php
• /components/com_mobilejoomla/index.php
• /components/com_mobilejoomla/sysinfo_system.php
• /components/index.php
• /components/com_banners/sysinfo_config.php
• /components/com_kunena/views/home/admin.checkin.php
• /components/com_jce/editor/tiny_mce/plugins/source/js/codemirror/toolbar.checkin.php
• /components/com_jce/editor/tiny_mce/plugins/colorpicker/admin.cache.php

Pojďme si to shrnout

Nebylo možné spolehlivě určit, odkud nohy této infekce vyrostly, zda je na vině nedávno nalezená v motoru kritická zranitelnost povolení SQL injection a eskalace privilegií nebo výše uvedené soubory .swf označené jako škodlivé nebo nějaká dosud neobjevená zranitelnost v jedné z komponent nebo pluginů třetích stran nebo děravý virtuální webhosting, zůstává otázka otevřená?

Aktuálně objeveno škodlivé soubory vyčištěno, soubory enginu jsou kompletně znovu nahrány, pravidla v .htaccess jsou barikády ... Kdo má čas a zájem tuhle hromadu sraček poskládat a vybrat, může si stáhnout archiv wso-php-shell-in -joomla.zip - všechny výše uvedené jsou tam zabaleny škodlivé soubory PHP, heslo archivu: www.site

CELKEM: Nikdy není příliš mnoho paranoie a jakýkoli bezplatný nebo komerční antivirus s heuristikou spolu s dalšími databázemi signatur není zdaleka všelékem. Jakékoli antiviry jsou proto zastaralým nástrojem pro ochranu aktivního víceuživatelského prostředí a pro prevenci různých neznámých hrozeb byste měli používat paranoidní metody ochrany, například: virtualizace, SELinux, Bastille Linux, neměnný bit, ecryptfs atd!

• Hrozba: WSO PHP Web Shell
• Oběť: ladynews.biz

Většina útoků na podnikové zdroje zahrnuje vkládání webových shellů - kódu, který umožňuje ovládat infikované stroje zvenčí sítě. AntiShell Web Shell Hunter je bezpečnostní nástroj, který obsahuje sadu mechanismů pro detekci webových skořápek.

Web shell je skript, který se nahraje na server a slouží pro vzdálenou správu. Škodlivým se stává pouze tehdy, když je ovládán útočníkem. A v tomto případě představuje vážnou hrozbu.

Infikovaný server nemusí být připojen k internetu – může být umístěn v interní síti společnosti. Potom se webový shell používá k získání přístupu k dalším hostitelům s kritickými aplikacemi nebo informacemi.

K psaní webových shellů lze použít jakýkoli jazyk podporovaný cílovým webovým serverem. V praxi se nejčastěji používají PHP a ASP, protože jsou nejoblíbenější. Rozšířené jsou také škodlivé programy v prostředí Perl, Ruby, Python a Unix.

Webové shelly se pro škodlivé aplikace instalují celkem standardním způsobem – pomocí zranitelností v CMS resp software webový server. Poté fungují jako zadní vrátka a umožňují útočníkovi provádět libovolné příkazy na vzdáleném počítači, včetně vstřikování ransomwaru nebo spouštění útoků na jiné servery.

Zvláštním nebezpečím u webových skořápek je jejich relativní jednoduchost. Úprava skriptu, jejímž výsledkem je další program, je úkol, který zvládne i začátečník. Kvůli této kvalitě je obtížné detekovat webové shelly pomocí standardních antivirových nástrojů.

Stejně jako ostatní malware Webové skořepiny lze identifikovat podle řady vnějších prvků. Značná část z nich však může také odkazovat na zcela legální soubory, a proto je třeba všechny podezřelé indikátory posuzovat komplexně, analyzovat celý obrázek, nikoli jeho fragmenty.

Možné indikátory přítomnosti webového prostředí na serveru mohou být:

• období abnormálně vysokého zatížení serveru;
• přítomnost souborů s podezřelým časovým razítkem (například pozdější než čas Poslední aktualizace NA);
• Dostupnost podezřelé soubory na místech dostupných z internetu;
• přítomnost souborů, které obsahují odkazy na cmd.exe, eval a podobně;
• přítomnost podezřelých oprávnění z vnitřní sítě;
• přítomnost souborů generujících neobvyklý provoz.

Je zřejmé, že „ruční“ analýza v tomto případě, pokud je to možné, vyžaduje příliš mnoho lidských zdrojů, takže její použití postrádá jakoukoli praktickou proveditelnost. AntiShell Web Shell Hunter od Garhi Technology tento proces automatizuje a tvrdí, že zaručeně rozpozná všechny známé webové shelly.

Aplikace je založena na následujících technologiích:

• vyhledávání podle klíčových slov. Všechny soubory jsou skenovány na slova a příkazy, které mohou být spojeny s útokem;
• analýza podpisů: hledání podpisů slavných webových shellů;
• analýza nejdelších čar. Škodlivý kód je často zašifrován tak, aby obcházel hledání klíčových slov. Díky tomu jsou řádky kódu obzvláště dlouhé, což je činí detekovatelnými;
• výpočet Shannonovy entropie v zdrojový kód... Každému řádku kódu je přiřazeno hodnocení, na základě kterého můžete posoudit míru ohrožení;
• vyhledávat škodlivý kód pomocí metody koincidenčního indexu.

To řeší jeden z hlavních problémů detekce webového shellu spojený s rozmanitostí používaných jazyků a možností snadné úpravy. Tyto faktory neovlivňují činnost AntiShell Web Shell Hunter, díky čemuž je univerzální a lze jej použít k ochraně jakéhokoli serveru.

Protože soubory, které nebyly změněny od předchozí kontroly, jsou vyloučeny ze zpracování, AntiShell Web Shell Hunter nezatěžuje server vysokou zátěží. Tento přístup navíc zkracuje dobu ověřování.

Správci zároveň mohou nezávisle nastavit dobu kontroly na základě denních výkyvů zatížení serveru. V případě potřeby je denní režim nahrazen týdenním nebo dokonce měsíčním, což umožňuje optimalizovat provoz celého systému.

Program detekuje soubory obsahující kód webového shellu a poskytne správce systému úplné informace podle objektu: datum a čas vytvoření, jméno vlastníka, práva atd.

Všechna tato data (nikoli však soubory samotné) putují také do klientského centra developerské společnosti, které na jejich základě může poskytnout podporu při řešení incidentu a vyšetřování jeho následků. Využívat mohou i zákazníci, kteří se přihlásili k placené službě speciální utilita stáhnout samotné infikované soubory pro další analýzu.

Zprávy o nalezených objektech zasílá správci systému e-mailem... Není třeba, aby osobně sledoval proces.

Dnes je AntiShell Web Shell Hunter jediným nástrojem zaměřeným speciálně na detekci webových skořápek. Řada antivirových aplikací obsahuje podobnou funkci, ale pouze jako doplňkovou možnost, která je ve výchozím nastavení neaktivní. Zpravidla se spoléhají pouze na analýzu podpisů, takže jejich účinnost je nízká.

Vzhledem k tomu, že používání webových shellů k útokům na servery je stále běžnější, má smysl chránit systém pomocí specializovaného řešení. Jak se říká, jistoty není nikdy moc.