Esiste uno scanner di malware specifico per server / sito web? [chiuso]

Se sul tuo server c'è del malware, qualcuno lo mette lì, quindi prima devi guardare alla prevenzione. :) Sarà anche, spesso, messo in un posto non referenziato da altrove sul server, quindi semplicemente spidering il tuo sito non lo troverà. Google lo troverà se / quando qualcuno segnala l'URL esatto, oppure è collegato da un altro sito compromesso.

Raccomando di adottare un altro approccio: rilevamento delle intrusioni basato su host. Per rilevare che qualcuno ha messo qualcosa sul tuo server che non dovrebbe essere presente, esegui periodicamente uno script (usando cron ) che controlla che nulla sia stato modificato nella root del documento. Se sono state apportate modifiche, invia un avviso per e-mail.

Se non vuoi scrivere il tuo script, c'è anche un software che può farlo anche per te. Il correttore di integrità del file originale si chiama Tripwire, e c'è un'alternativa open source chiamata AIDE (su CentOS, esegui yum install aide come root). Alcune configurazioni richieste, ma possono fare solo ciò di cui hai bisogno.

La soluzione a lungo termine a questo tipo di cose sta facendo le cose in un modo più sicuro. Perché nessuno scanner riuscirà mai a trovare tutti gli hack personalizzati che vengono rilasciati sui tuoi siti. Ecco cosa sto pensando:

• Sviluppa e implementa solo dal controllo della versione. È molto comune iniziare semplicemente a spingere il codice sul server, anche lavorando sullo schermo SSH +. L'ho fatto, sono sicuro che molti di noi lo fanno ... Ma, oltre a tutti gli altri vantaggi del controllo della versione, desideriamo un codice base che sappiamo provenga da noi (o almeno dalle nostre macchine di sviluppo) e non era il risultato di un dropper del codice.

• Lascia che il tuo codice scriva solo nei posti in cui deve scrivere. In primo luogo, questo significa eseguire il codice come qualcun altro, più comunemente www-data . Quindi devi assicurarti di consentire solo a quell'utente di scrivere nei posti in cui ha bisogno di scrivere. Per la maggior parte delle persone è questo? Un file di database (se SQLite) e una directory multimediale se si consentono i caricamenti. Consentire al gruppo e ad altre scritture (ad es. Pigro chmod -r 777 ) è una pessima forma. Trovalo e risolvilo.

  Il problema che questo causerà è che Wordpress non sarà in grado di aggiornare automaticamente, scaricare temi, ecc. Data la piccola quantità di tempo necessaria per eseguire tali operazioni manualmente (o con uno script), so quale sono più felice con.

• Non lasciare che il codice venga eseguito dalle directory in cui il tuo codice può scrivere. Ecco come funziona l'iniezione. Se hai uno script di caricamento (ad esempio), assicurati che il tuo server web non rilascerà codice di esecuzione per il suo prodotto.

Metti insieme quelle cose e hai un sistema in cui sei relativamente sicuro che l'unico codice che viene eseguito sul tuo sistema sia il codice che invii tramite controllo di versione. E se non sei sicuro, devi solo controllare la copia nel tuo VCS.

Questo è ovviamente insieme ad altri sistemi di sicurezza e deterrenti basati sulla sicurezza. Questa risposta si occupa solo degli attacchi di iniezione di codice.