ISPC3: Schadsoftware Scanner für Webordner

Dieses Thema im Forum "Tipps - Tricks - Mods" wurde erstellt von andy1965, 26. Nov. 2015.

  1. andy1965

    andy1965 Member

    Hallo Leute!

    Da immer wieder CMS und Sites gehackt werden, würde ich gerne den www Ordner mit einem Scanner täglich überprüfen, welchen Scanner könnt ihr empfehlen?

    Danke vorab.
     
  2. Till

    Till Administrator

    Da gibt es zum einen die Klassiker Maldetect bzw. Clamav, die Erkennungsrate bei webseiten malware ist aber eher mäßig.

    Daher arbeiten wir seit einiger Zeit an einem neuen Scanner der Signaturen die wir selbst auf Basis von Malwarefunden bei Kunden entwickeln enthält. Du kannst Ihn gern mal ausprobieren:

    https://www.howtoforge.de/forum/threads/wordpress-hack.9427/#post-47603

    Offiziell released wird er in ein paar Tagen.
     
  3. robotto7831a

    robotto7831a Member

    @Till
    Ich bekomme beim Start folgende Fehlermeldung.
    System: Debian Wheezy
     
  4. Till

    Till Administrator

    Hi, könntest Du bitte mal die Audgabe von:

    php -v

    posten. Hast Du da ein manuell kompiliertes PHP laufen oder von einem anderen repo? Irgendwie scheint Dein commandline PHP threadsafety einkompiliert zu haben.
     
  5. robotto7831a

    robotto7831a Member

    Ich habe PHP von dotdeb.

     
  6. Till

    Till Administrator

    Der Scaner sollte jetzt auch mit PHP TS versionen laufen. Bitte einfach noch mal neu runter laden.
     
  7. robotto7831a

    robotto7831a Member

    Ja, startet.
     
  8. robotto7831a

    robotto7831a Member

    Da sind viele false positive.
     
  9. Till

    Till Administrator

    Ok, super. Und was gefunden?

    Wir haben gerade noch ein größeres Signaturupdate eingespielt (Version 1.5.15).
     
  10. Till

    Till Administrator

    Auf den Kundensystemen die ich gescannt hab waren fast keine false positives dabei. Was hat er denn bei Dir fälschlicherweise markiert? Wenn es um treffer in den webalizer stats geht, das sind keine FP sondern aufrufe von malware die es in die statistik geschafft haben, die kannst Du ignorieren nur wir können sie nicht whitelisten da es keine FP sind und wir dann auch die dafür verantwotliche malware mit whitelisten würden.

    Du kannst false positives auch mit:

    ./ispp_scan.sh --false-positive=/pfad/zur/datei.php

    reporten.
     
  11. robotto7831a

    robotto7831a Member

    Nein, es wurde nichts gefunden.
     
  12. robotto7831a

    robotto7831a Member

    Der hat 346 Dateien mit "suspect.crypted.eval" markiert.
     
  13. Till

    Till Administrator

    Ok, dann schau ich mir die sig mal an. Kannst Du mir eine von den falsch markieretn dateien als pm schicken oder über die fp reportfunktion des scriptes?
     
  14. robotto7831a

    robotto7831a Member

    Ist unterwegs.
     
  15. florian030

    florian030 Member

    Ich fände es übrigens extrem praktisch, wenn man beim Reporten von FP einen Schalter für y hätte. Dann würde das nämlich auch mit ner bash-schleife gehen.
     
  16. Croydon

    Croydon Super-Moderator

    Die Bash-Schleife sollte in dieser Art funktionieren, falls du etwas suchst, das automatisch "y" tippt.
    Code:
    for L in $(cat /path/to/list) ; do ./ispp_scan.sh --false-positive=${L} < /usr/bin/yes ; done
    Inzwischen gibt es aber auch eine --force-yes Option.
     
    Zuletzt bearbeitet: 28. Nov. 2015
    florian030 gefällt das.
  17. hahni

    hahni Active Member

    Also bei mir hat das Tool zuverlässig und einwandfrei funktioniert. Ich konnte mich bezüglich der Software nicht beklagen. Tolle Sache an und für sich. Und eigentlich auch zuverlässiger als MalDet.
     

Diese Seite empfehlen