Una WebShell es un script o programa que se desarrolló en algún lenguaje web. De esa forma, la principal función
es la de ejecutar comandos en el servidor donde se encuentra alojada. Generalmente, son utilizadas para robar
información o incluso para alojar códigos maliciosos de otra naturaleza que luego son utilizados en diversas
campañas de propagación.
Una de las WebShells más famosas o reconocidas es c99. Asimismo, en la actualidad existen miles de variantes
desarrolladas en diversos lenguajes. Muchas de ellas son detectadas como backdoors ya que permiten a un atacante
ingresar y realizar operaciones de forma remota.
¿Qué se debe hacer?
Para no ser susceptibles a este tipo de ataques es importante que los administradores de los sitios web mantengan
actualizado el software y los módulos que componen al servicio web. De esta forma, estarán protegidos contra las
ultimas vulnerabilidades. Asimismo, se debe contemplar la posibilidad de realizar una revisión de código para
asegurar que el diseño sea adecuado y no existan fallas. Por eso, siempre recomendamos gestionar la seguridad
adecuadamente para mitigar el impacto de estos casos.
¿Cómo detectar webshells?
Por lo general la mayoría de shells – Backdoors utilizan funciones en php conocidas como por ejemplo eval(),
system(), shell_exec(), exec(), passthru() .. entre otras…
Aqui tenemos de las varias opciones para detectar Backdoors:
SHELL DETEC:
Este SCRIPT programado en PHP hace uso de una base de datos en la cual se encuentran palabras o términos claves
como los que les menciono arriba (eval, system, exec….) para identificar como posibles archivos maliciosos en
este caso Backdoors.
Se puede descargar desde Aquí : https://github.com/emposha/PHP-Shell-Detector/
Sólo basta con subir el archivo shelldetect.php y shelldetect.db en nuestro hosting, al llamar el script desde la
URL nos pedirá un usuario y una contraseña.
User: admin
Password: protect
Al abrirlo automáticamente hace el escaneo del hosting en busca de archivos maliciosos.
NEOPI:
neopi.py un script desarrollado en PYTHON igual que el anterior y de los muchos scripts que podremos encontrar en
internet se enfocan en buscar las funciones que podrían ser utilizadas a la hora de plantar Backdoors.
Se puede descargar desde Aquí: https://github.com/Neohapsis/NeoPI