Repositori ini ditujukan untuk tujuan analisis keamanan defensif, penelitian, dan edukasi terkait artefak yang sering diasosiasikan dengan web shell, file upload bypass, dan indikator kompromi pada server berbasis PHP.
Repositori ini membantu:
- tim blue team dan SOC mengenali pola nama file mencurigakan,
- administrator web memvalidasi kontrol upload file,
- peneliti keamanan membuat rule deteksi,
- auditor melakukan review terhadap exposure file berbahaya di server.
Contoh artefak dalam repositori ini digunakan sebagai sampel penelitian untuk:
- identifikasi pola penamaan file berbahaya,
- analisis bypass ekstensi file,
- pembuatan rule deteksi berbasis filename,
- validasi hardening pada web server,
- pengujian pipeline scanning internal di lingkungan lab yang sah.
Jangan gunakan repositori ini pada sistem yang bukan milik Anda atau tanpa izin tertulis.
Penyalahgunaan artefak semacam ini dapat melanggar hukum, kebijakan organisasi, dan etika profesi keamanan informasi.
Artefak seperti ini sering digunakan oleh penyerang untuk:
- eksekusi perintah jarak jauh,
- upload file berbahaya,
- bypass validasi ekstensi,
- enumerasi file sensitif,
- persistence pasca-kompromi.
Penggunaan yang diperbolehkan:
- laboratorium internal yang terisolasi,
- validasi rule WAF/EDR/AV,
- pengujian deteksi IOC,
- pelatihan incident response,
- review keamanan mekanisme upload file.
Beberapa pola yang umumnya perlu dimonitor:
- file PHP dengan nama menyerupai gambar, misalnya
*.jpg.php,*.png.php, - variasi ekstensi seperti
.phtml,.phar,.pht,.php5,.php7, - file dengan kata kunci seperti
shell,cmd,symlink,phpinfo, - upload file di direktori writable yang dapat dieksekusi.
- Nonaktifkan eksekusi script di direktori upload.
- Gunakan allowlist ekstensi file, bukan denylist.
- Validasi MIME type dan signature file.
- Simpan file upload di luar document root.
- Terapkan least privilege pada permission file.
- Monitor perubahan file dan upload anomali.
- Gunakan WAF dan endpoint scanning.
- Audit konfigurasi Apache/Nginx/PHP secara berkala.
- YARA rule untuk nama file dan string mencurigakan
- Sigma rule untuk web server log
- cron/inotify scanner untuk direktori upload
- alert saat muncul file dengan double extension
- integrasi dengan SIEM untuk korelasi IOC
Dengan mengakses repositori ini, Anda setuju untuk:
- hanya menggunakannya pada lingkungan yang sah,
- tidak melakukan akses tanpa izin,
- mematuhi hukum dan kebijakan yang berlaku,
- mengutamakan tujuan defensive dan edukatif.
Seluruh konten disediakan hanya untuk penelitian defensif dan edukasi keamanan. Penulis tidak mendukung penggunaan untuk akses tidak sah, persistence, privilege abuse, atau tindakan merugikan lainnya.