Scantools um PHP-Schadcode im Webserverbereich zu suchen?

  • Hallo,


    der vor kurzem veröffentlichte PHPMailer Exploit mit dem man sich z.B. über ein Joomla-Kontaktformular eine Shell auf dem Zielsystem holen kann ( https://youtu.be/xyYMYvT2bx8 ) und die Tatsache, dass Joomla die Lücke auch 10 Tage nach dem Bekanntwerden noch nicht per Update gefixt hat, hat mich etwas nachdenklich gestimmt. Ich hab zwar den PHPMailer schon direkt nachdem der Exploit auf Heise erwähnt wurde manuell aktualisiert, aber trotzdem würde ich gerne mal prüfen, ob der ganze Webserver-Bereich noch frei von Schadcode ist.


    Auf meiner Suche bin ich auf "AI-Bolit" von revisium.com gestoßen, ein kostenloses Scantool von einer russischen Firma, die wohl ihr Geld damit verdient, den Webseitenbesitzern beim Reinigen zu helfen, falls diese mit ihrem kostenlosen Scanner Schadcode finden. Ich bin halt etwas skeptisch und wollte deshalb erstmal in die Userrunde fragen, was ihr für Scanner für den Webserverbereich einsetzt, um über Exploits von PHP-Anwendungen eingeschleusten Schadcode zu finden?

  • Wie soll das funktionieren. Jede Variable in jedem Script müsste debugged werden um zu sehen, ob diese irgendwann ungefiltert ausgeführt wird. Als Betreiber können gewisse Funktionen deaktiviert werden, die oft missbraucht werden. Aber absolute Sicherheit gibt es in diesem Bereich nicht.
    Die bei revisium.com geben ja nicht wirklich viel bekannt über die Systematik die dahinter steckt. Kann ich also überhaupt nicht beurteilen.

  • Das österreichische StartUp https://nimbusec.com/ beschäftigt sich mit dieser Problemstellung.
    Wobei die nicht den fehleranfälligen PHP-Code detektieren, sondern deren Algorithmen durchforsten die PHP-Files am Server und sollen recht zuverlässig WebShells detektieren. Wenn man das also täglich oder mehrmals täglich laufen lässt, dann hat man zumindest eine Einbruchserkennung (die meisten Angriffe hinterlegen irgend einen Codeschnippsel der eine WebShell bereitstellt).