PHP Malware FinderEn septembre 2015, nous vous présentions PHP Malware Finder (PMF), un outil open source créé par NBS System pour repérer d’éventuelles portes dérobées laissées par des pirates sur des applications PHP. Depuis, cet outil a évolué : découvrez ses nouvelles fonctionnalités !

ASP Malware Finder

Le PHP Malware Finder pourrait changer de nom… puisqu’il permet à présent de repérer du code malveillant sur les applications utilisant le langage ASP, utilisé dans les applications Microsoft. Pour scanner ces applications, des règles différentes sont bien sûr utilisées, ciblant les spécificités de ce langage.

Optimisation des fichiers de règles

Auparavant, à chaque appel, PMF utilisait l’ensemble de ses règles afin de vérifier que le fichier scanné ne contenait pas de code correspondant à l’une de ces règles. À cette époque, l’outil ne concernait que les applications PHP, n’avoir qu’un seul fichier de règle ne posait donc pas de problème. En revanche, l’ajout du nouveau langage dans le même fichier signifie que PMF doit lire, à chaque action, des règles qui ne s’appliquent pas à l’application concernée… engendrant une perte de temps et de ressources.

C’est pourquoi PMF contient désormais de 3 fichiers de règles :

  • Le fichier « common » récapitule toutes les règles universelles permettant de reconnaître du code malveillant, quelle que soit la technologie utilisée par l’application. Il contient, par exemple, une règle pour repérer les URL servant à envoyer des hashs sur des sites de cassage de mot de passe.
  • Le fichier PHP contient les règles propres à PHP.
  • Le fichier ASP contient les règles propres à ASP.

Ainsi, les utilisateurs de PMF peuvent choisir quel fichier utiliser, selon leur application, et optimiser l’utilisation de l’outil en ne vérifiant que les règles qui peuvent les concerner.

Facilitation de la mise à jour

Pour que PHP Malware Finder soit efficace, il doit s’adapter aux nouveaux types de code malveillant et pouvoir repérer autant de malwares que possible. C’est pourquoi ses fichiers de règles sont régulièrement mis à jour, grâce à une veille active et à vos contributions !

Cependant, jusqu’à présent, chaque ajout ou mise à jour des règles de filtrage nécessitait une nouvelle version de PHP Malware Finder. Il est désormais possible de mettre à jour les fichiers de règles sans mettre à jour tout le logiciel ! Cela permet notamment de ne pas redéployer les machines utilisant PMF à chaque nouvelle règle, et d’assouplir l’utilisation de l’outil.

icone documentationC’est la fonction  « – – update » du script qui permet cette flexibilité. Par défaut, elle est liée aux fichiers de règles présents sur le Github de PMF, mais il suffit aux utilisateurs de changer le script pour la lier à leurs propres fichiers en interne.

Continuez à contribuer…

Ces modifications ont pour but de faciliter votre utilisation de PHP Malware Finder, et de rendre le Web plus sûr ! N’hésitez donc pas à contribuer sur le Github du projet, que ce soit directement sur le script, dans les règles (nouveaux exemples de fichiers malveillants), et dans la whitelist des fichiers légitimes en faisant tourner le script sur vos applications saines !

Source technique : Julien Voisin – 

Lucie Saunois
Lucie Saunois
Passionnée d'informatique, en particulier de sécurité, depuis qu'elle a rejoint l'OT Group en 2015, Lucie se spécialise dans la vulgarisation technique pour permettre à tous d'appréhender ces sujets parfois complexes.