Мне поручено проводить ежедневное сканирование на наличие вредоносных программ на нашем веб-сайте Wordpress, чтобы убедиться, что все в порядке. Поэтому я установил Maldetect 1.5 и ClamAV. Поскольку я хотел узнать, все ли работает должным образом, я загрузил пример файла вредоносной программы со скрытым PHP-кодом base64, скопированным с https://aw-snap.info/articles/php-examples.php .
Однако, если я просканирую эти файлы, Maldetect скажет: «Файлы 4, вредоносные программы обнаруживают 0, очищенные обращения 0».
Это означает, что я не могу быть уверен, что Maldetect действительно обнаруживает существующее вредоносное ПО. Кто-нибудь из присутствующих имеет опыт в этом и хочет мне помочь?
Ура
Хакер шифрует эти инструменты взлома/шелл-скрипты, чтобы они были FUD (Fully Undetected или Fully Undetectable). Лучшее, что вы можете сделать, это отправить эти файлы в ClamAV и Maldetect, чтобы они могли добавить их в свою базу данных и успешно обнаружить их в следующий раз.
EDIT
Вместо того, чтобы делать эти сканирования каждый день, я настоятельно рекомендую вам запустить cron для ClamAV
crontab -e #Open cron file
0 4 * * * /usr/local/cpanel/3rdparty/bin/clamscan -ri --remove /home 2>&1 | mail -s "ClamAV Scan Log" your@email.com
Это будет запускать сканирование каждый день в 4 утра, удалять зараженные файлы и отправлять журнал вам по электронной почте. Измените /home
на путь ваших сайтов или сканируйте все /
Также я рекомендую вам включить мониторинг Maldetect
Размещение примеров "вредоносного ПО" может быть проблематичным, поскольку поставщики A/V имеют тенденцию помечать ваш сайт. Один из способов обойти это - разместить код в виде изображения, другой способ - "сломать" код, добавив пробелы нулевой длины в ключевых местах. Если вы посмотрите исходный код этой страницы, то примеры будут такими
eval(base64_decode("ZXJyb3JfcmVwb3J0aW5nKDAp.....
Если бы вы хотели протестировать любой из этих примеров, вам пришлось бы очистить их.
Не знаю, почему производители аудио-видео оборудования отмечают эти примеры, поскольку они не могут быть выполнены в браузере, но это уже другая история.