IT News: Digital Camera, OS, Laptop, Smartphone, Smart TV, Sound...

The Author's Project by Valeri N.Kravchuk
Сайт проверен Dr.Web
Меню сайта
  • Главная страница
  • Информация о сайте
  • Дневник
  • Каталог файлов
  • Обратная связь
  • Каталог сайтов
  • FAQ
  • Доска объявлений
  • Форум
  • Фотоальбом
  • Категории раздела
    Автомобильные гаджеты, ремонт... [144]
    Безопасность IT [404]
    Блоки питания, Power Banks, зарядки... [512]
    Видеорегистраторы [188]
    Гаджеты для спорта и здоровья... [191]
    Гаджеты, аксессуары... [627]
    Измерительная техника, инструменты [446]
    Накопители данных [233]
    Нетбуки, Ноутбуки, Ультрабуки [691]
    Мультиварки, блендеры и не только... [164]
    Планшеты [764]
    Радар-детекторы [26]
    Роботы-пылесосы [40]
    Своими руками [366]
    Сети, сетевые технологии, оборудование... [273]
    Смартфоны [4963]
    Фотокамеры, объективы, искусство фотографии.. [541]
    Умный дом [53]
    Электронные книги [102]
    CB, LPD, PMR- связь... [170]
    DECT, IP-телефоны [18]
    Drones, boats, cars... [109]
    electric cars [35]
    GPS-навигаторы, трекеры... [51]
    Linux и не только [3983]
    mini computers и не только... [412]
    News IT, Это интересно, ликбез... [1121]
    Smart TV, UltraHD, приставки, проекторы... [416]
    Smart Watch [269]
    Sound: наушники, плееры, усилители... [619]
    Windows 10... [301]
    Windows 11 [37]
    Погода

  • Метеорадар БРЕСТ
  • Погода в Бресте от www.yr.no

    Яндекс.Погода БРЕСТ

  • Интересные ссылки

    COMPIZOMANIA

    Наш опрос
    Оцените мой сайт
    Всего ответов: 1347
    Статистика
    Анализ веб сайтов

    Яндекс.Метрика

    Рейтинг@Mail.ru Яндекс цитирования

    Russian America Top. Рейтинг ресурсов Русской Америки.

    eXTReMe Tracker

    Правильный CSS!


    Онлайн всего: 135
    Гостей: 135
    Пользователей: 0
    Locations of visitors to this page
    Форма входа
    Главная » 2013 » Сентябрь » 19 » Linux Malware Detect — веб-антивирус для серверов
    11:56
    Linux Malware Detect — веб-антивирус для серверов

    Linux Malware Detect — веб-антивирус для серверов 



    Интернет уже не тот, что прежде — кругом враги. Тема обнаружения непосредственного заражения сайта и поиска вредоносных/зараженных скриптов на взломанном сайте рассмотрена слабо, попробуем это исправить.
    Итак, представляем вашему вниманию Linux Malware Detect.

    Linux Malware Detect (LMD) — это сканер для Linux, предназначенный для поиска веб-шеллов, спам-ботов, троянов, злонамеренных скриптов и прочих типичных угроз характерных для веб-пространств и особенно актуален для виртуальных шаред-хостинг платформ. Главное отличие от прочих Linux-антивирусов — его веб направленность, сканирование файлов веб-сайтов, ведь обычные антивирусы ориентируется на более глобальные угрозы уровня системы.

    Что умеет


    • Поиск угроз по базе MD5 и распознавание типа угрозы (например, php.cmdshell.nan.296.HEX) по HEX-базе.
    • Статистический анализ файлов на наличие обфусцированных зловредов и инъекций.
    • Обнаружение установленного в системе ClamAV для использования его в качестве сканера.
    • Ручное и автоматическое (по крону) обновление сигнатур.
    • Ручное и автоматическое обновление версии самого скрипта.
    • Возможность сканирования недавно добавленных/измененных файлов (например за последние 2 дня).
    • Опция загрузки обнаруженных потенциальных угроз на официальный сайт для анализа.
    • Система отчетов.
    • Очистка файлов от вредоносных инъекций.
    • Крон-заготовки для запуска регулярного сканирования юзерспейсов или других директорий.
    • Наборы исключений по расширениям, сигнатурам и путям.
    • Возможность отправки результатов сканирования на e-mail.
    • Мониторинг в реальном времени созданных/модифицированных/измененных файлов при помощи inotify_watch: мониторинг выбранных пользователей, каталогов или файлов.
    • … и прочее.


    Как это работает


    Сканирование происходит с использованием собственного скрипта на базе grep, а если в системе установлен ClamAV — то при помощи clamscan. Аналогично с сигнатурами: программа имеет свою базу сигнатур, если же в системе установлен ClamAV, то использует дополнительно и его базу.

    Источники сигнатур:

    1. Срез данных сети. Разработчик LMD является администратором хостинга на 35.000 сайтов, данные ежедневно анализируется и обрабатываются. Основной источник сигнатур.
    2. Данные сообщества собранные с антималвар-сайтов.
    3. ClamAV, взаимообмен сигнатурами.
    4. Данные, присылаемые пользователями.


    Сигнатуры обновляются практически ежедневно, RSS-лента с обновлениями сигнатур присутствует на официальном сайте.

    Результаты сканирования сохраняются в файл, а также могут высылаться на указанный в конфиге e-mail. Интеграции с популярными панелями управления, увы, нет, если же вы хостер — сообщения клиентам придется рассылать вручную.

    Интеграция с популярными панелями ISPmanager и Cpanel была бы неплохим вкладом в сообщество (это в случае если кто желает).

    Что это дает


    • Позволяет следить за безопасностью ваших сайтов на VDS и DS.
    • Хостерам — ежедневное сканирование и рассылка предупреждений клиентам позволит повысить лояльность клиентов, которые, зачастую, очень далеки от знания кодинга и основ безопасности.
    • Если ваш сайт или сайт клиента будет взломан — вы узнаете об этом либо сразу (если включен мониторинг в реальном времени), либо в течении периода, выбранного для cron-сканирования. Ведь «предупрежден — значит вооружен»: зараженные сайты чаще всего становятся источниками рассылки спама со всеми вытекающими (например, блеклистинг IP в DNSBL).

    Типичные примеры обнаружений


    Отчет о сканировании выглядит следующим образом:
    malware detect scan report for servername:
    SCAN ID: 090913-1000.17637
    TIME: Sep 9 16:04:40 +0300
    PATH: /var/www
    RANGE: 2 days
    TOTAL FILES: 151224
    TOTAL HITS: 5
    TOTAL CLEANED: 0
    
    {HEX}php.cmdshell.unclassed.344 : www/user1/data/www/example.com/wp-content/plugins/7ja1i/nxeogyqbd3h.php
    {HEX}php.cmdshell.cih.215 : /var/www/user1/data/www/example.com/xyiznwsk/info.php
    {CAV}PHP.Trojan.Spambot : www/user1/data/www/example.com/wwp-content/plugins/customize-admin/bannerTQIz.php
    {HEX}php.nested.base64.513 : /var/www/user1/data/www/example.com/engine/modules/topnews.php
    {HEX}base64.inject.unclassed.6 : /var/www/user1/data/www/example.com/wp-content/plugins/wpematico/app/settings_page.php 
    {HEX}gzbase64.inject.unclassed.14 : /var/www/user1/data/director/example.com/wp-content/themes/zenith/404.php
    


    Установка


    Качаем:
    wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

    Распаковываем:
    tar -zxvf maldetect-current.tar.gz

    Запускаем установку:
    sh ./install.sh


    При запуске install.sh программа установки размещает файлы LMD в /usr/local/maldetect, заносит исполняемый скрипт в /usr/local/sbin и libinotifytools.so.0 в /usr/lib.

    В процессе инсталляции автоматически создаются ежедневные крон-задания для обновления сигнатур и запуска сканирования. По умолчанию в конфигурации указаны типичные пути для сканирования вебспейсов популярных панелей управлений, таких как ensim, psa, DirectAdmin, cpanel, interworx и дефолтных apache-путей размещения сайтов (/var/www/html, /usr/local/apache/htdocs). Для ISPmanager путь /var/www/ придется добавлять вручную.

    Настройка


    Конфиг LMD находится в файле /usr/local/maldetect/conf.maldet.
    Конфиг хорошо документирован и позволяет настроить все, что душе угодно.

    На заметку:


    ionice -c 3 добавленный к строкам запуска скриптов по поиску и сканированию файлов поможет предотвратить нагрузку на дисковую подсистему выставив наинизший приоритет i/o.

    В файле /usr/local/maldetect/maldet
    находим:
    find="$find"

    меняем на:
    find="ionice -c 3 $find"

    находим:
    clamscan="$clamscan"

    меняем на:
    clamscan="ionice -c 3 $clamscan"

    Стоит отметить, что данное решение — своего рода «костыль», данную опцию стоит добавить в апстрим.

    Типичные команды


    Запускаем сканирование указанного каталога:
    # maldet -a /home/user1/exapmle.com


    По окончанию получаем результат вида:
    maldet(24128): {scan} scan completed on example.com: files 4, malware hits 0, cleaned hits 0
    maldet(24128): {scan} scan report saved, to view run: maldet --report 091713-1715.24128


    Смотрим отчет:
    #maldet --report 091713-1715.24128


    Принудительно обновляем базы с rfxn.com:
    #maldet -u


    Принудительно обновляем версию с rfxn.com:
    #maldet -d


    Сканируем все изменные за последние X дней файлы (в данном случае 2) в указанном каталоге
    #maldet -r /home/user1/ 2


    Отправляем неизвестную уязвимость на rfxn.com:
    #maldet -c /home/user1/file.php


    Помещаем в карантин результаты сканирования SCANID (id из результатов сканирования)
    #maldet -q 091713-1715.24128


    Пытамся очистить результаты сканирования
    #maldet -n, --clean 091713-1715.24128


    Программа распространяется по лицензии GNU GPLv2.
    Официальная страничка проекта: http://www.rfxn.com/projects/linux-malware-detect Linux Malware Detect.

    Имею опыт использования и настройки, на все вопросы с удовольствием отвечу в комментариях.

    http://habrahabr.ru/post/194346/
    Категория: Linux и не только | Просмотров: 989 | Добавил: laptop | Рейтинг: 0.0/0
    Всего комментариев: 0
    Добавлять комментарии могут только зарегистрированные пользователи.
    [ Регистрация | Вход ]
    Волк слабее льва и тигра, но в цирке волк не выступает!
    Волк слабее льва и тигра, но в цирке волк не выступает!
    Волк - единственный из зверей, который может пойти в бой на более сильного противника.
    Если же он проиграл бой, то до последнего вздоха смотрит в глаза противника. После этого умирает...

    Праздники сегодня

    Поиск
    Календарь
    «  Сентябрь 2013  »
    ПнВтСрЧтПтСбВс
          1
    2345678
    9101112131415
    16171819202122
    23242526272829
    30
    Архив записей
    Друзья сайта
  • Официальный блог
  • JEEP - the best! Mercedes - the best! Автомобильный портал города Бреста: технические характеристики с фото, авторынок, автоспорт...
    Наша кнопка
    IT новости с моего лаптопа...

    Внимание!
    Администратор сайта laptop.ucoz.ru не несет ответственности за содержание рекламных объявлений. Все используемые на сайте зарегистрированные товарные знаки принадлежат своим законным владельцам! Используемая со сторонних источников информация публикуется с обязательными ссылками на эти источники.
    Copyright Valeri N.Kravchuk © 2007-2024