PHPShellは、Webサーバー上でシェルコマンドを実行できるようにするphpスクリプトです。 悪意のあるphpシェルスクリプト-脚がどこから成長するかphpシェルとは

最近、インターネットの広大な広がりの中で、私は「 PHPシェル"。数年前、このユーティリティは私を大いに助けてくれました。そして今、私はその開発者であるMartin Geisler（http://mgeisler.net/）に一種の借金をしたいと思っています。

「PHPシェル」の目的は何ですか？ 私は、システム管理者はもちろんのこと、すべての「高度な」WebプログラマーがSSHに出くわして使用したと信じています。 SSHを使用すると、サーバーにリモートでアクセスしてシェルコマンドを実行できます（ディレクトリを前後に移動したり、ファイルを移動、削除、コピーしたり、スクリプトを実行したり、あらゆる種類の巧妙なユーティリティを実行したりするなど、あらゆる種類のコマンドがあります。 ）、からモニターに配線するかのように システムユニット信じられないほどのサイズに延長され、ホストのサーバーに到達しました。 実行中のウィンドウアプリケーションを示すデスクトップイメージであるsshとX-graphicsをトンネリングすることは可能であると言わなければなりませんが、これは明らかにWebサーバーには当てはまりません。

つまり、ホスティングにSSHがない場合は、「デンマーク王国の何が問題になっているのか」ということです。 欠点は、「新しい」サイトではSSHがデフォルトで無効になっていることが多く、sshのサポートとの競合に時間がかかることです。 それはまさにその遠い冬の夜に起こったことです。 あるマシンから別のマシンにサイトを転送する必要があり、その間に問題が発生しました。患者の「内部」を確認するために、デスクトップのパテショートカットに頻繁にアクセスしました。 おっと...そしてsshサポートはアクティブ化されていません。 どうなる？ そこにある言語でのプログラミングに十分なスキルがある場合は、目的のタスクを実装する小さなスクリプトを作成することは難しくありません。 私はグーグルを開いて、いくつかのリンクを実行した後、PHPシェルについての言及を見つけました。 要するに、私は時間通りに家を出ました。

実のところ、PHP Shellが提供してくれた、簡素化されたシェル機能を十分に備えていたのは非常に幸運でした。それはまだそれを模倣したものです。

そのコアで、PHPシェルは使用します php関数-proc_open。 この関数はコマンドを実行し、I / Oストリームを開いて、アプリケーションに情報を入力し（キーボードのように手動入力を模倣）、作業の結果を出力します（パイプが何であるかを知っている場合は、それらについて話します） ）。 実際、proc_open関数は、exec関数またはシステム関数の改良および拡張バージョンです。 しかし、それらはプログラムを開始しただけであり、それと対話する機会を与えなかったので、パラメータですぐに入力する必要がありました コマンドラインコマンドが機能するために必要なすべてのデータを指定します。 proc_openを使用すると、phpスクリプトに関連付けられたパイプを作成できるため、プログラムへのデータ入力をシミュレートして、その作業の結果を読み取ることができます。 愛好家のために 無料ホスティングすぐにお伝えします：

「いいえ、PHPシェルを使用してSSHアクセスを取得することはできません。」

重要なのは、無料または非常に安価なホスティングの場合、セーフモードでphpを実行するのが通例です。 proc_openを含む多くの関数が無効になっています。

「いいえ、PHPSHELLを使用してインタラクティブソフトウェアを操作することはできません。」

Webの本質は、リモートサーバー上で動作を継続し、いくつかの個別のhttp要求中にデータを入力および出力できるプログラムを実行することは不可能であることを示しています。

「いいえ、サーバー上のすべてのプログラム、ファイル、およびフォルダーにアクセスすることはできません。」

スクリプトはapacheに代わって実行され、その機能はapacheアカウントを実行する権利があるという事実によってのみ制限されます。 または、オプションとして、suexecがホスティング（http://en.wikipedia.org/wiki/SuEXEC）で使用されている場合、あなたの権利は権利と一致します アカウント phpスクリプトの起動元。

これで問題が解決せず、サーバー上のアーカイブをphpshellなどのフォルダーにダウンロードして解凍したとしましょう。 ブラウザのアドレスバーに「somehow-called-your-site / phpshell / phpshell.php」と入力すると、自己紹介を求められ、名前とパスワードを入力するよう求められます。もちろん、これらは次のような資格情報ではありません。ホスティング業者から受け取った

したがって、権限を設定する必要があります。このユーティリティを介してシェルにアクセスできるのは誰ですか。 これを行うには、config.phpファイルでusersセクションを見つけ、次の形式でユーザー名とパスワードを追加します。

Vasyano =秘密

パスワードがクリアテキストで設定されていることに混乱している場合は、pwhash.phpファイルを使用して、md5パスワードの折り畳みを確認でき、config.phpファイルに保存されます。

ここで、もう一度入力してウィンドウに入ろうとします。ウィンドウの下部でコマンドを入力し、[開始]をクリックすると、実行結果がページウィンドウの中央に表示されます。

それだけです、多分phpshellはどういうわけかあなたを助けるでしょう。

悪意のあるWSOPHPシェルスクリプトが/libraries/simplepie/idn/OpenIDOpenID.php（Joomla！3サイト）を検出しました。 オン この瞬間 JS / SARS.S61、PHP：Decode-DE、Trojan.Html.Agent.vsvbn、PHP.Shell.354、php.cmdshell.unclassed.359.UNOFFICIALなどの一部のアンチウイルスによってのみ定義されています。

ある「晴れた」日（誰もがそうであるように）、私たちの病棟の1つ（http://ladynews.biz）は、ウイルス対策ホスティングで彼のサイトをスキャンした結果、次のメッセージを受け取りました。

アカウントに悪意のあるコンテンツを含むファイルが見つかりました。 使用しているIPアドレスからのみFTPアカウントへのアクセスを制限し、ウイルス対策保護を使用してアカウントのウイルスをチェックすることを強くお勧めします。 再感染を防ぐためのセキュリティとハッキング防止のガイドラインを確認してください。

もちろん、この不名誉に対処することが提案されました。デフォルトのアンチウイルスデータベースのセットを使用して標準のClamAVアンチウイルスでスキャンしても、追加の結果は得られませんでした。

このストーリーの冒頭（2015-10-23）の時点では、このウイルスシェルスクリプトは、Comodo、DrWeb、ESET-NOD32、GDataなどの「モンスター」を含むほとんどのアンチウイルスのアンチウイルスデータベースには存在していませんでした。 、Kaspersky、McAfee、Microsoft、Symantec、TrendMicroなど。2015-10-23にVirusTotalオンラインスキャナーでも確認されました。 悪意のあるPHPスクリプトを識別できたアンチウイルスはごくわずかでした。

AhnLab-V3 JS / SARSアップデートのアンチウイルス結果の日付。 S61 20151022 Avast PHP：Decode- DE [Trj] 20151023NANO-アンチウイルストロイの木馬。 HTML。 エージェント。 vsvbn 20151023

同じ日に、ClamAVとDr.Webは、悪意のあるスクリプトの検出について通知を受けました。 ClamAVはまだ頑固に沈黙しており、Dr.Webは24時間以内に悪意のあるパッケージに反応しました。

リクエストが分析されました。 対応するエントリがDr.Webウイルスデータベースに追加されており、次回の更新時に利用できるようになります。

脅威：PHP.Shell.354

Dr.Webはその約束を守り、ウイルススクリプトOpenIDOpenID.phpはPHP.Shell.354として定義されましたが、ClamAV、Comodo、DrWeb、ESET-NOD32、GData、Kaspersky、McAfee、Microsoft、Symantec、TrendMicro、など、彼らはまだそれについて知らない（2015-10-25現在）。

はい、ファイルを削除しましたが、どのくらいの期間ですか？ それがどこから来たのか、私たちは推測することしかできません。 次は何ですか？ 共有ホスティング（別名共有ホスティング、共有ホスティング）ではそれ以上の権限がないため、あらゆる種類のSecuritycheckコンポーネントを配置し、.htaccessのルールを変更してすべての人へのアクセスを禁止します。 これらの対策がどれだけ節約できるか、誰も知りません。

ちなみに、Securitycheckコンポーネントのトピックについては... SecuritycheckはJoomla！のコンポーネントです。 とても良いです。 そして、これは私が誰もが使用することを強く思いとどまらせる特定の「アンチウイルスウェブサイト保護」のまったくのがらくたです、これはこの「アンチウイルスウェブサイト保護」の実践で証明されたレビューです：

このコンポーネントは、configuration.phpと見つかったその他のパスワードを含むpack.tarファイルを/ tmpに作成します。 注意してください

これは、翻訳では次のことを意味します。 バックアップファイル/tmp/pack.tar内のサイト全体。このファイルには、データベースからのパスワードを含むconfiguration.phpが含まれています。 注意してください」-これは、「Webサイト保護」がこのコンポーネントから臭いを嗅がないことを意味します。これにより、被害者は/ログ、/ tmp、/キャッシュディレクトリへのパスを変更し、それらへのアクセスを拒否することも考えます。

このリンクをクリックすると、問題が少なくとも1年以上前のものであることがわかります。 ここを見ると、シェルスクリプトのマスキングがトリッキーなbase64_encode / gzdeflateによって行われていないことがわかります。つまり、OpenIDOpenID.phpを呼び出し/接続してbase64_decode / gzinflateを実行する部分がどこかにある必要があります。 これは、OpenIDOpenID.phpが単なる結果（別名結果）であり、サーバーが産業規模でスパムを送信し始めたと被害者が不満を言う理由ではないことを意味します。 手動での取り外し悪意のあるファイルは役に立ちません。その後、被害者はNIC-RUホスティング以外に文句を言う人がいなくなります。 「リークのある」仮想ホスティングは非常に優れている可能性があります。 IMHOの人々は、アイデアのためではなく、給料のためにそこで働くことがよくありますが、場合によっては、問題がはるかに深刻になる可能性があります。

たとえば、「AdobeFlashファイルで悪意のあるiFrameインジェクターが検出されました」などです。 Flashのサイトにファイルをアップロードするためのインターフェイスを記述したり、ActionScriptで他の多くの興味深いことを実行したりできることは、誰にとっても秘密ではないと思います。 .swfファイルのウイルス（ アドビフラッシュ）、実践が示しているように、何年も気づかれずにサイトの黒いドアになる可能性があります（ 別名バックドア-バックドア）「OpenIDOpenID.php」のようなファイルが「スロー」され、顔が青くなるまで削除できます。

何をすべきか、何千ものファイルの中から「弱いリンク」を見つける方法は？ これを行うには、いわゆるヒューリスティック分析を使用する必要があり、場合によっては、サードパーティのアンチウイルスデータベースを使用する必要があります。 ヒューリスティック分析は、その設定によっては、サードパーティの開発者からの追加のウイルスシグネチャを使用する場合よりも多くの誤検知を引き起こす可能性があることに注意してください。

サードパーティのアンチウイルスデータベースはどこで入手できますか？ たとえば、ClamAVのサードパーティのウイルス対策署名を含むデータベースは、www.securiteinfo.com、malwarepatrol.net、rfxn.comから無料で入手できます。 これらの追加のアンチウイルスデータベースを使用するにはどうすればよいですか？ これはまったく別の話になります。 rfxn.com（LMD（Linux Malware Detect）プロジェクト）からのClamAV用の追加のアンチウイルスデータベースは、Webアプリケーション内のマルウェアを検索し、より良い結果をもたらすことを目的としているとしか言えません。 rfxn.comはまた、指紋がデータベースにある脅威の78％が、30を超える商用アンチウイルスによって検出されていないと述べています。

それで...悪意のあるPHPシェルスクリプトOpenIDOpenID.phpの話はどのように終わりましたか？

追加で買いだめすることになりました アンチウイルスデータベース mallwarepatrol.netおよびrfxn.comからのClamAVの場合、サイトファイルのバックアップコピーをダウンロードしてローカルでスキャンします。スキャン結果は次のとおりです。

$ clamscan / ladynews.biz / ../ game_rus.swf：MBL_647563.UNOFFICIAL FOUND / ../ farmfrenzy_pp_rus.swf：MBL_647563.UNOFFICIAL FOUND / ../ beachpartycraze_rus.swf：MBL_2934225.UNOFFICIAL FOUNDly / MBL_ / loader_rus.swf：MBL_647563.UNOFFICIAL FOUND -----------スキャンの概要-----------既知のウイルス：4174348エンジンバージョン：0.98.7スキャンされたディレクトリ：3772スキャンされたファイル： 18283感染ファイル：5合計エラー：1スキャンされたデータ：417.76 MB読み取られたデータ：533.51 MB（比率0.78：1）時間：1039.768秒（17分19秒）

/libraries/simplepie/idn/OpenIDOpenID.php上記のように.swfファイルは削除されましたが、問題は解決しましたか？ これまでのところ言うのは難しいです-私たちはさらに掘り下げています...

復号化されたバージョンのファイルから /libraries/simplepie/idn/OpenIDOpenID.php（http://pastebin.com/WRLRLG9B）@define定数（ "WSO_VERSION"、 "2.5"）;を見てください。 、これがWSOと呼ばれる製品であることが明らかになります。 キーワードWSOのネットワークを少し掘り下げた後、次の結果が得られました。

トピックは長い間新しいものではないことが判明したので、私たちは歯の中でregexxerを選び、サイトファイルを拾い続けて見つけます：ディレクトリを開くときにエラーが発生しました "/ home / user / libraries / joomla / cache / controller / cache "： アクセス拒否

ああ、ここにいるよ、s.kaどこにセラヌロ！ ディレクトリへの権限を確認します。これはデフォルトではないはずです= chmod 111（別名Run for Owner / Group / All）。 したがって、何かがどこかに位置し、カタログ全体に広がり、chmod111を使用するウイルスからも隠れます。

カタログ用のchmod551をインストールして中を調べたところ、 /libraries/joomla/cache/controller/cache/cache/langs.php、ソースコードはここから入手できます：http：//pastebin.com/JDTWpxjT-ディレクトリ /ライブラリ/ joomla /キャッシュ/コントローラー/キャッシュ消去。

これで、すべてのファイルとディレクトリのchmodを整理しました。

＃ディレクトリ内のファイルの権限の一括変更（chmod）/ dirname以下 find / home / user / public_html -type f -exec chmod 644（）\; ＃一括変更権限（chmod）オン。/dirname以下 find / home / user / public_html -type d -exec chmod 755（）\;

もう一度、追加のclamscan /ladynews.bizデータベースを使用してウイルス対策チェックを繰り返しますが、すべてがクリーンであると思われます。

regexxerを使用してファイルの検索を繰り返し、次の方法で検索を試みます。 キーワード OpenIDOpenID、OpenID、またはWSO-そして、p.detははるかに広く深いことが判明したという結論に達しました。

• -ここにあるべきではありません、ここにそのソースがあります：http：//pastebin.com/jYEiZY9G
• /administrator/components/com_finder/controllers/imagelist.php-ここにあるべきではありません、ここにそのソースがあります：http：//pastebin.com/0uqDRMgv
• /administrator/components/com_users/tables/css.php-ここにあるべきではありません、ここにそのソースがあります：http：//pastebin.com/8qNtSyma
• /administrator/templates/hathor/html/com_contact/contact/toolbar.trash.html.php-ここにあるべきではありません、ここにそのソースがあります：http：//pastebin.com/CtVuZsiz
• /components/com_jce/editor/tiny_mce/plugins/link/img/Manager.php-ここにあるべきではありません、ここにそのソースがあります：http：//pastebin.com/2NwTNCxx
• /libraries/joomla/application/web/router/helpsites.php-ここにあるべきではありません、ここにそのソースがあります：http：//pastebin.com/ANHxyvL9
• /plugins/system/ytshortcodes/XML.php-ここにあるべきではありません、ここにそのソースがあります：http：//pastebin.com/GnmSDfc9
• /templates/index.php-ここにあるべきではありません、ここにそのソースがあります：http：//pastebin.com/gHbMeF2t

/administrator/components/com_admin/index.phpおよび/templates/index.phpは、非常に非推奨のeval（）関数を使用してメインコードを実行するエントリスクリプトである可能性があります。

まあ、悪意のあるコードをマスクする背後にあるロジックは明らかです。 ここで、「eval（$」構文を検索すると、さらに興味深いものが見つかります。

• /administrator/components/com_admin/sql/updates/postgresql/php.php-http：//pastebin.com/gRHvXt5u
• /components/com_kunena/template/blue_eagle/media/iconsets/buttons/bluebird/newsfeed.php -
• /components/com_mailto/helpers/index.php -
• /components/com_users/views/login/file.php -
• /components/com_users/controller.php-感染しており、交換が必要です！
• /includes/index.php-
• /libraries/joomla/string/wrapper/section.php -
• /libraries/legacy/access/directory.php -
• /libraries/nextend/javascript/jquery/InputFilter.php -
• /libraries/nextend/smartslider/admin/views/sliders_slider/tpl/config_tinybrowser.php -
• /libraries/xef/assets/less/admin.frontpage.php -
• /media/editors/codemirror/mode/rust/Alias.php -
• /modules/mod_kunenalatest/language/zh-TW/smtp.php -
• /modules/mod_kunenalogin/language/de-DE/XUL.php -
• /plugins/content/jw_allvideos/jw_allvideos/includes/js/mediaplayer/skins/bekle/CREDITS.php -
• /templates/sj_news_ii/html/mod_sj_contact_ajax/toolbar.messages.php -

24時間以内に許可されるパブリケーションは10のみであるため、まだバイラルなPHPスクリプトのすべてにpastebin.comにコードが投稿されているわけではありません。 V 一般的な順序削除はおおまかに次のとおりです。

はい、ほとんど忘れていました-悪意のあるスクリプトの削除を開始する前に、ディレクトリ内の.phpファイルへの直接アクセスを禁止するいくつかのルールを.htaccessに追加しても問題はありませんが、ルートファイル/または/ indexへのアクセスのみを許可します.phpおよび/ administrator /または/administrator/index.php-これにより、厄介な攻撃者がさまざまなシステムディレクトリに隠されている着信シェルスクリプトにアクセスするのをブロックします。

（パブ）（/パブ）（reg）

＃--- +++一部のファイルとディレクトリを保護します+++ ---＃RewriteCond％（REQUEST_URI）！^ /（（Index）+\。Php|。*\。（Htm | html | txt | xml）| + |。* / + |。* /。* \。（Css | js | jpg | jpeg | png | gif | ico | eot | svg | ttf | woff | woff2 | html）+）？$ RewriteCond％（REQUEST_URI）！^ /（管理者）+ /（index \ .php）？$ RewriteRule ^ （。*）$-＃ ＃--- +++ //保護されたいくつかのファイルとディレクトリ+++ ---

UPD 2015-10-28：ええと、何ですか？ もうリラックスしていますか？ まだ早い...

それでは、サイトファイルの荒野を調べて、エンジンにまったく存在してはならないバイナリファイルを探しましょう。

find / mypath / -executable -type f find / mypath / -type f -perm -u + x find / mypath / -type f | xargsファイル| grep "\：\ *データ$"

探している人は常に（バイナリ）を見つけます：

• /modules/mod_p30life_expectancy_calc/tmpl/accordian.pack.js
• /images/stories/audio/34061012-b1be419af0b9.mp3
• /libraries/xef/sources/folder/navigation.php
• /libraries/joomla/application/web/application.php
• /libraries/joomla/document/json/admin.checkin.php
• /libraries/nextend/assets/css/LICENSES.php
• /libraries/fof/config/domain/toolbar.categories.html.php
• /libraries/fof/form/field/client.php
• /libraries/phputf8/sysinfo_system.php
• /components/com_mobilejoomla/index.php
• /components/com_mobilejoomla/sysinfo_system.php
• /components/index.php
• /components/com_banners/sysinfo_config.php
• /components/com_kunena/views/home/admin.checkin.php
• /components/com_jce/editor/tiny_mce/plugins/source/js/codemirror/toolbar.checkin.php
• /components/com_jce/editor/tiny_mce/plugins/colorpicker/admin.cache.php

まとめましょう

最近エンジンで発見されたのが原因であるかどうかにかかわらず、この感染の脚がどこから発生したかを確実に特定することはできませんでした 重大な脆弱性 SQLインジェクションと特権昇格、悪意のあるものとしてマークされた上記の.swfファイル、サードパーティのコンポーネントやプラグインの1つでまだ発見されていない脆弱性、またはリークのある仮想Webホスティングを許可することは、未解決のままですか？

現在発見されている 悪意のあるファイルクリーンアップされ、エンジンファイルが完全に再アップロードされ、.htaccessのルールはバリケードです...時間があり、このたわごとの山をまとめて拾うことに興味がある人は、アーカイブwso-php-shell-inをダウンロードできます。 -joomla.zip-上記のすべてが悪意のあるPHPファイル、アーカイブパスワードにパックされています：www.site

合計：パラノイアが多すぎることは決してなく、ヒューリスティックと追加のシグネチャデータベースを備えた無料または商用のアンチウイルスは万能薬とはほど遠いものです。 したがって、アンチウイルスはアクティブなマルチユーザー環境を保護するための古いツールであり、さまざまな未知の脅威を防ぐには、仮想化、SELinux、Bastille Linux、不変ビット、ecryptfsなどの妄想的な保護方法を使用する必要があります。

• 脅威：WSO PHPWebシェル
• 犠牲者：ladynews.biz

企業リソースに対するほとんどの攻撃には、Webシェル（ネットワークの外部から感染したマシンを制御できるようにするコード）の挿入が含まれます。 AntiShell Web Shell Hunterは、Webシェルを検出するための一連のメカニズムを含むセキュリティツールです。

Webシェルは、サーバーにアップロードされ、リモート管理に役立つスクリプトです。 攻撃者によって制御された場合にのみ悪意のあるものになります。 そしてこの場合、彼は深刻な脅威をもたらします。

感染したサーバーはインターネットに接続する必要はありません。会社の内部ネットワークに配置できます。 次に、Webシェルを使用して、重要なアプリケーションまたは情報を持つ他のホストにアクセスします。

ターゲットWebサーバーでサポートされている任意の言語を使用して、Webシェルを作成できます。 実際には、PHPとASPが最も人気があるため、最も一般的に使用されています。 Perl、Ruby、Python、Unixシェル上の悪意のあるプログラムも蔓延しています。

Webシェルは、悪意のあるアプリケーションに対してかなり標準的な方法でインストールされます-CMSまたは ソフトウェア Webサーバー。 その後、これらはバックドアとして機能し、攻撃者がリモートマシンで任意のコマンドを実行できるようにします。これには、ランサムウェアの注入や他のサーバーへの攻撃の開始が含まれます。

Webシェルの特定の危険性は、比較的単純なことです。 スクリプトを変更して別のプログラムを作成することは、初心者でも処理できるタスクです。 この品質のため、標準のウイルス対策ツールでWebシェルを検出することは困難です。

他の人のように マルウェア、Webシェルは、いくつかの外部機能によって識別できます。 ただし、それらの大部分は完全に合法的なファイルを参照している場合もあるため、疑わしい指標は、その断片ではなく全体像を分析して、複合体で検討する必要があります。

サーバー上にWebシェルが存在することを示す可能性のある指標は次のとおりです。

• サーバーの負荷が異常に高い期間。
• 疑わしいタイムスタンプを持つファイルの存在（たとえば、時刻より後） 最後の更新オン）;
• 可用性 疑わしいファイルインターネットからアクセスできる場所。
• cmd.exe、evalなどへのリンクを含むファイルの存在。
• 内部ネットワークからの疑わしい承認の存在。
• 異常なトラフィックを生成するファイルの存在。

明らかに、この場合の「手動」分析は、可能であれば、非常に多くの人的資源を必要とするため、そのアプリケーションには実用的な実現可能性がありません。 GarhiTechnologyのAntiShellWeb Shell Hunterはこのプロセスを自動化し、すべての既知のWebシェルを認識することが保証されていると主張しています。

このアプリケーションは、次のテクノロジーに基づいています。

• キーワードで検索します。 すべてのファイルがスキャンされ、攻撃に関連する可能性のある単語やコマンドが検出されます。
• 署名分析：有名なWebシェルの署名を検索します。
• 最長の線の分析。 多くの場合、悪意のあるコードは、キーワード検索をバイパスするような方法で暗号化されます。 これにより、コード行が特に長くなり、検出可能になります。
• シャノンのエントロピーの計算 ソースコード..。 コードの各行には、脅威の程度を判断できる評価が割り当てられています。
• 同時インデックス方式を使用して悪意のあるコードを検索します。

これは、使用されるさまざまな言語と簡単な変更の可能性に関連する、Webシェル検出の主な問題の1つを解決します。 これらの要因は、AntiShell Web Shell Hunterの動作に影響を与えません。これにより、AntiShell Web Shell Hunterはユニバーサルになり、任意のサーバーを保護するために使用できます。

前回のスキャン以降に変更されていないファイルは処理から除外されるため、AntiShell Web ShellHunterはサーバーに高い負荷をかけません。 さらに、このアプローチにより検証時間が短縮されます。

同時に、管理者はサーバー負荷の日々の変動に基づいてスキャン時間を個別に設定できます。 必要に応じて、日次ルーチンを週次または月次に置き換えます。これにより、システム全体の操作を最適化できます。

プログラムは、Webシェルコードを含むファイルを検出し、システム管理者に提供します 完全な情報オブジェクト別：作成日時、所有者の名前、権利など。

このすべてのデータ（ファイル自体は除く）は、開発会社のクライアントセンターにも送信されます。クライアントセンターは、それに基づいて、インシデントの処理とその結果の調査をサポートします。 有料サービスにご登録いただいたお客様もご利用いただけます 特別なユーティリティさらに分析するために、感染したファイル自体をダウンロードします。

見つかったオブジェクトに関するメッセージは、によってシステム管理者に送信されます。 Eメール..。 彼がプロセスを個人的に監視する必要はありません。

今日、AntiShell Web Shell Hunterは、特にWebシェルの検出を目的とした唯一のツールです。 多くのアンチウイルスアプリケーションには同様の機能が含まれていますが、これは追加オプションとしてのみであり、デフォルトでは非アクティブです。 原則として、それらは署名分析のみに依存しているため、その有効性は低くなります。

サーバーを攻撃するためのWebシェルの使用が一般的になりつつあるため、特殊なソリューションでシステムを保護することは理にかなっています。 ことわざにあるように、セキュリティが多すぎることは決してありません。