PHP Malware Finder

Logo NBS System
Logo NBS System
PHP Malware Finder
 

PHP Malware Finder est un outil de sécurité informatique permettant de repérer du code malveillant sur un site ou une application web écrit(e) en PHP. Ce scanner open source, développé par nos experts, signale les portes dérobées que des pirates pourraient avoir installé sur vos serveurs web. PHP Malware Finder est installé par défaut chez nos clients ayant choisi la solution d’hébergement de haute sécurité CerberHost.

Détection malware : pourquoi utiliser PHP Malware Finder ?

Le terme « malware », ou logiciel malveillant en français, ne nécessite guère d’explication tant il est rentré dans le langage courant. Cette expression a en réalité un sens très large, rassemblant les virus, vers et chevaux de Troie, mais également de nombreuses autres menaces informatiques. Ces dernières, au contraire de la majorité des virus, n’ont pas nécessairement d’impact direct sur les machines qu’elles infectent, et sont donc beaucoup plus difficilement repérables.

On peut catégoriser ces menaces sous le terme de portes dérobées, ou « backdoors » en anglais. Concrètement, ce sont des fichiers contenant du code malveillant, ou des morceaux de code malveillant, installés sur un ordinateur après avoir cliqué sur un lien douteux, ou cachés par un pirate sur un serveur web après avoir pénétré ce dernier.

L’utilité et les objectifs de ces portes dérobées sont aussi variées que l’imagination des pirates informatiques est foisonnante ! Elles peuvent permettre notamment :

  • L’exfiltration ou le vol de données
  • L’utilisation des ressources de votre machine pour de l’envoi de SPAM ou pour des attaques DDoS
  • L’hébergement de contenu illégal sur votre serveur, accessible via des URL cachés
  • Et bien d’autres !

PHP Malware Finder repère ces morceaux de code malveillant sur vos serveurs, afin de vous permettre de les retirer et de retrouver des machines saines. Attention, l’outil est facile à contourner, mais son objectif est de minimiser les risques en adressant, très facilement, certaines des menaces les plus simples… qui sont souvent les plus utilisées lors d’attaques opportunistes !


PHP Malware Finder: l’expertise open source de NBS System

Années d’existence

Anti malware : comment utiliser PHP Malware Finder ?

Vous pouvez récupérer cet outil open source sur la page Github PHP Malware Finder. Il s’installe sur votre serveur. Demandez conseil à votre hébergeur ou auprès de vos développeurs afin qu’ils vous accompagnent dans son installation !

Quand utiliser PHP Malware Finder ?

Au-delà du premier test initial, nous vous conseillons de réaliser des scanners réguliers sur vos serveurs web, et non pas uniquement après une compromission.

Cette précaution peut paraître paranoïaque à certains, mais elle est loin d’être négligeable. En effet, comme le partage IBM dans son dernier rapport « Cost of Data Breach », il se passe en moyenne 191 jours avant la découverte d’une compromission. Cela signifie que certaines portes dérobées peuvent rester installées pendant plus de 6 mois avant d’être repérées.

Faites baisser cette moyenne en vérifiant, régulièrement, l’état de vos sites et applications web comme de vos Systèmes d’Information ! Il convient, bien sûr, de trouver un équilibre entre vos impératifs de production et cette nécessité de contrôle de la sécurité de vos plateformes. Ne négligez pas cependant cette dernière mission, que nous vous conseillons d’automatiser autant que possible !

PHP Malware Finder, comment ça marche ?

PHP Malware Finder est un scanner de malware basé sur le projet open source Yara, dont nous remercions chaleureusement l’équipe. Yara permet en effet de repérer et classer les différents malwares en fonction de chaînes de caractères spécifiques.

Le fonctionnement de PHP Malware Finder est simple : il scanne le contenu des fichiers de votre serveur à la recherche d’indices évoquant un comportement malveillant.

Malware protection : repérage et signalement des fichiers malveillants

Ces indices, repérés par l’anti malware PHP Malware Finder, sont de plusieurs natures :

  • Présence de nombreuses fonctions considérées comme douteuses
  • Morceaux de code correspondant à des malwares connus
  • Signatures de pirates informatiques, comme un pseudonyme par exemple
  • URL renvoyant vers des sites d’aide au cassage de mot de passe
  • Et bien d’autres !

Il arrive que certains fichiers soient obfusqués, c’est-à-dire qu’ils sont rendus illisibles afin de ralentir leur analyse par des outils automatisés. Nos experts ont prévu le coup : PHP Malware Finder repère les modèles d’obfuscation souvent utilisés dans les malwares, et est donc capable d’identifier ces fichiers malveillants.

À chaque fichier étudié, l’outil vérifie s’il contient un ou plusieurs indices significatifs d’un comportement malveillant. S’il en repère, il marque alors le fichier comme illégitime. Bien entendu, ces listes sont régulièrement mises à jour pour intégrer les nouveaux types de menaces, et maintenir la protection, même contre les attaques informatiques les plus récentes.

Éviter les faux positifs en détectant les malwares

Le risque, avec ce type d’outils automatiques, c’est la possibilité qu’un fichier soit considéré comme malveillant à cause de son contenu, alors qu’il est en réalité légitime. PHP Malware Finder pallie ce risque grâce à un système additionnel de liste blanche.

Pour le constituer, nos experts en sécurité informatique ont scanné de nombreuses plateformes, frameworks et CMS afin d’identifier les fichiers légitimes qu’ils contiennent. Ils les ont référencés sous forme de hash (une empreinte unique qui change drastiquement si la moindre donnée contenue dans le fichier est modifiée) dans une liste blanche.

A chaque fois qu’un fichier malveillant est identifié par PHP Malware Finder, il est mis sous forme de hash et comparé à la liste blanche. Si son hash n’est pas dans la liste des fichiers autorisés, il est alors signalé à l’administrateur de votre serveur comme malveillant. Ce dernier peut alors essayer de comprendre comment le fichier est arrivé là, le supprimer, et surtout mieux protéger votre serveur informatique si nécessaire !

Vous êtes intéressé par PHP Malware Finder ou cherchez à protéger votre activité contre les menaces informatiques ?

Contactez notre équipe !