PHP Files Nach backdoores durchsuchen / Prüfen

**politoxy** · 08. 02. 2012, 20:32

Hallo freunde.

Ich suche eine möglichkeit php dateien nach eventuell versteckten backdoores oder anderen "pösen" zeilen zu durchsuchen ,wenn möglich mit einem tool oder ähnliches.

Wäre cool wenn mir da jemand einen tipp geben könnte ,es handelt sich um sehr viele php files ,die alle einzeln zu durchsuchen wäre .....

mfg

**Tabletop-Player** · 08. 02. 2012, 20:42

Die idee hinter backdoores und co ist ja das man sie nicht im Code bemerken soll, dementsprechend denke ich nicht das es tools gibt die das über prüfen können, aber ich lasse mich gerne eines besseren belehren.

**politoxy** · 08. 02. 2012, 20:46

Ja das ist mir klar ,man kann sie ja theoretisch crypten usw ,jedoch meinte ich ganz einfache backdoores wo nicht viel getan wurde um sie zu verstecken.

mfg

**Tabletop-Player** · 08. 02. 2012, 21:01

Eventuell hilft dir das weiter:
http://www.html.de/php/34697-php-validieren.html

**Exterminans** · 08. 02. 2012, 22:00

Nein, das tut es definitiv nicht. Damit validierst du nur, ob es sich um syntaxfehlerfreien Code handelt, aber es sagt nichts über den Inhalt aus.

Den Code nach Backdors zu überprüfen geht nicht automatisch, dafür muss man den Code schon selber Stück für Stück durchgehen und auf Basis von Erfahrungswerten absichtlich zum Missbrauch bestimmte oder auch nur unabsichtlich unzureichend abgesicherte Codeblöcke erkennen. Das ist etwas, was man im Laufe der Zeit lernt, wenn man ein paar Jahre lang damit zu tun hatte und die ganzen Lücken im Laufe der Zeit alle selber mal kennen gelernt hat. (Und selbst dann wird es immer Lücken geben die einem trotzdem verborgen bleiben weil einem die Angriffsmethode bislang unbekannt ist weil exotischer als alles was man bisher vor sich hatte.)

**politoxy** · 08. 02. 2012, 22:49

Ja mir geht es nur um die standards wie

<?php
system($_GET['cmd']);
?>

Also nur ganz simple sachen ,das man dann die files noch einzeln checken muss ist ja auch klar

**Kugelfisch23** · 08. 02. 2012, 23:07

Solch triviale Backdoors liessen sich sogar durch ein simples Durchsuchen aller Skripte nach bestimmten Schlüsselwörtern finden. Die Schlüsselwörter ergeben sich aus den Namen der möglicherweise zu diesem Zweck benutzten Funktionen/Sprachkonstrukte: eval, system, passthru, ... (explizit: nicht abschliessende Liste). Dazu liesse sich unter unixoiden Systemen etwa grep nutzen.

Sicherheit bietet solch eine automatisierte Prüfung jedoch aus den von Exterminans genannten Gründen nicht.

**politoxy** · 08. 02. 2012, 23:11

Ja genau sowas suche ich kugelfisch ,wie kann man die dateien durchsuchen gibt es dafür vielleicht ein tool?
ich will halt nur mal grob filtern und dann ggf unter sichtung selbst nochmal genau nachchecken.

mfg

**Kugelfisch23** · 08. 02. 2012, 23:19

Unter unixoiden Betriebssystemen würde sich wie erwähnt grep anbieten, z.B. würde

Code:

grep system *.php

alle php-Dateien im aktuellen Verzeichnis nach system durchsuchen. Unter Windows könntest du eine grep-Portierung (z.B. http://gnuwin32.sourceforge.net/packages/grep.htm) oder ein Programm mit ähnlichem Funktionsumfang und einer GUI (z.B. http://www.wingrep.com/) einsetzen. Auch bieten einige Editoren eine Funktion zum Durchsuchen mehrerer Dateien.