Webshell Scanner

Membangun Pos Jaga : Rilis Webshell Scanner v1.2.3

Author 0x6ick | 6ickzone

Pendahuluan: Dari Manual ke Otomatis

Di dua artikel sebelumnya, kita udah ngebahas Anatomi Webshell dan Playbook Blue Team untuk memburunya. Kita udah belajar cara 'ngendus'(kek ajg) jejak-jejaknya secara manual pake grep, find, dan ngeliatin log.

Tapi jujur aja, Brok. Kalo kyta harus nge-grep ribuan file di server yang udah live, itu capek dan makan waktu. Belum lagi kalo shell-nya di-*obfuscate* pake base64 berlapis-lapis. Scanner manual kita bakal lolos.

Karena itulah, di artikel ini, gua mau ngerilis "senjata" yang udah kita kembangin h3h3: WebShell Scanner. Ini adalah tool single-file PHP dengan UI web yang ringan, dirancang khusus untuk respons insiden cepat.

"Bongkar Mesin": Kenapa Tool Ini Beda?

"Ngapain bikin tool lagi, Brok? Kan udah ada LMD atau ClamAV?"

Bedanya, tool ini dirancang sebagai "pisau bedah :v" yang portabel. Dia nggak cuma nyari signature kayak eval() atau system(). Ini dia fitur unggulannya:

• Analisis Entropi Shannon: Ini fitur pembunuhnya. Shell yang dienkripsi atau di-*obfuscate* berat (misal di-encode berkali-kali) punya tingkat "keacakan" karakter yang sangat tinggi. Tool ini menghitung skor entropi file. Kalo skornya tinggi, 99% itu file mencurigakan, meskipun nggak ada kata 'eval' di dalamnya.
• Tombol "Analyze": Nggak cuma ngasih tau "ini bahaya", tapi pas kamu klik "Analyze", tool ini akan nunjukkin baris kode mana aja yang memicu deteksi. Kamu bisa langsung tau letak racunnya :v.
• Tombol "Quarantine": Temukan, langsung amankan. Tombol ini bakal mindahin file ke folder /quarantine DAN otomatis bikin file .htaccess (Deny from all) di dalemnya biar file itu nggak bisa dieksekusi dari web.
• Filter Cerdas (Whitelist & Recent Scan):
  • Whitelist Regex: Punya plugin yang emang 'aneh' tapi aman? Masukin path-nya ke whitelist pake regex biar nggak di-flag terus.
  • Recent Scan: Fitur favorit gua. Daripada scan puluhan ribu file, aktifin ini buat scan file yang diubah dalam 'X' hari terakhir (misal, 7 hari). Jauh lebih cepet dan fokus ke infeksi baru.
• Logging Otomatis: Setiap scan akan dicatat di folder /scan_logs (yang juga diproteksi). Ini penting banget buat dokumentasi incident response (IR).

Cara Pakai (Step-by-Step)

1. Download: Ambil file wsscan.php dari repositori GitHub.

   # Kau bisa pake wget atau curl
   
   wget https://raw.githubusercontent.com/6ickzone/WebShell-Scanner/main/wsscan.php

2. Upload: Unggah file wsscan.php ni ke direktori root (misal public_html) di server yang mau kau scan.
3. Buka di Browser: Akses file itu, misal: http://situs-kau.co.li/wsscan.php
4. Atur & Scan:
   • Path: Udah otomatis keisi lokasi skripnya. Kau bisa ganti kalo mau.
   • Whitelist: Masukin regex kalo ada file yang mau kamu abaikan.
   • Recent Scan: Centang ini dan atur harinya (misal 7) untuk scan cepat.
   • Klik "🔍 Scan Files".
5. Review Hasil: Hasilnya akan muncul di tabel. Langsung klik "Analyze" untuk investigasi :v, atau "Quarantine" untuk mengamankan file.

---

Disclaimer

This tool is provided for educational and defensive purposes only. The author (0x6ick) is not responsible for any misuse or damage caused by this script. Use it responsibly and ethically to secure your own assets.

Download & Repositori

Tool ini 100% open source dengan lisensi WTFPL (Do What The Fuck You Want To). Silakan dipakai, dikembangin, atau dicaci maki.

Kau bisa lihat README.md lengkap dan download scriptnya di repositori GitHub kyta:

https://github.com/6ickzone/WebShell-Scanner

Penutup

Mendeteksi shell itu baru setengah dari perang. Setelah nemu, tugas kyta sebagai Blue Team adalah nutup celah (patching), ganti semua password, dan *hardening* server biar nggak kecolongan lagi.

Semoga tool ini bermanfaat buat klean. Kalo ada bug atau ide fitur, jangan ragu buat laporin via *Issues* di GitHub.

okok dah