[英⇒日]weevely：ステルス小型PHPバックドア！

 (元記事はこちら)

Weevelyをつかうと、ほとんど検出できないように設計されたPHPトロイを、作成および管理できます。このソフトウェアは、目立ちにくいPHPバックドアの概念実証であり、telnetライクな接続、HTTPリファラーの隠しデータ、システムライクな機能の動的なプローブの使用を完全にシミュレートし、PHPのセキュリティ上の封鎖をすり抜けます。PHPコードを生成してWebサーバをトロイ化させ、telnetクライアントのように振る舞わせてコマンドを実行させたり、backdoor化されたサーバー上に付加的な機能を注入したりします。 weevelyはblachbox Linuxのにも収録されており、詳細な説明はこちら 。

weevelyの特徴 ：

Coded requests：バックドアサーバとクライアント間の通信は、通常のHTTPリクエストを介して行われ、コード化されたコマンドが織り込まれたもっともらしい偽のHTTP_REFERERヘッダフィールドをつかって、NIDSのモニタリングとHTTPログファイルのレビューからトラフィックを隠蔽します。

PHP security bypass ：このプログラムで迂回を試みているものは、PHPの設定のうち、賢い外部プログラム実行機能を無効化させてしまうものです。このオプション有効にすると、php.iniに記述された機能を無効にします。Weevelyはさまざまなシステム関数を試して（(system(), passthru(), popen(), exec(), proc_open(), shell_exec(), pcntl_exec(), perl->system(), python_eval())リモートサーバ上で有効化されている機能を見つけ利用します。

小型サーバ ：バックドアサーバのコードは小さく、他のPHPファイルに簡単に紛れ込ませることができます。コアは動的に暗号化され、パターンマッチングコントロールをバイパスすることを狙っています。

モジュール性：バックドアサーバの機能をインクリメントするのはモジュールをつかえば簡単になります。バックドアを介してPHPのコードを注入して、リモートサーバ上に新しい機能を実装します。新しいモジュールのコー​​ドとロードは、本当に簡単です。現在の追加モジュールは次のとおり :安全なモードの確認、ファイルの読み取り、リモートサーバ上のファイルのダウンロード、書き込み可能なパス検索。

確かに、インストールしておくと、サーバがコントロール下にあり、リモートで制御したい場合にはよさそうです。オープンソースなので、アンチウイルスによって検出されるようになった場合には変更を加えることができます。

Download Weevely v0.3 (weevely-0.3.tar.gz) here.