ISPC3: Schadsoftware Scanner für Webordner

#1
Hallo Leute!

Da immer wieder CMS und Sites gehackt werden, würde ich gerne den www Ordner mit einem Scanner täglich überprüfen, welchen Scanner könnt ihr empfehlen?

Danke vorab.
 
#3
@Till
Ich bekomme beim Start folgende Fehlermeldung.
Downloading ionCube Loader for your system.
ionCube Check succeeded.
Failed loading /tmp/ioncube/ioncube_loader_lin_5.6.so: /tmp/ioncube/ioncube_loader_lin_5.6.so: undefined symbol: executor_globals
Site error: the file <b>/tmp/ispp_scan.php</b> requires the ionCube PHP Loader ioncube_loader_lin_5.6.so to be installed by the site administrator.
System: Debian Wheezy
 

Till

Administrator
#4
Hi, könntest Du bitte mal die Audgabe von:

php -v

posten. Hast Du da ein manuell kompiliertes PHP laufen oder von einem anderen repo? Irgendwie scheint Dein commandline PHP threadsafety einkompiliert zu haben.
 

Till

Administrator
#10
Auf den Kundensystemen die ich gescannt hab waren fast keine false positives dabei. Was hat er denn bei Dir fälschlicherweise markiert? Wenn es um treffer in den webalizer stats geht, das sind keine FP sondern aufrufe von malware die es in die statistik geschafft haben, die kannst Du ignorieren nur wir können sie nicht whitelisten da es keine FP sind und wir dann auch die dafür verantwotliche malware mit whitelisten würden.

Du kannst false positives auch mit:

./ispp_scan.sh --false-positive=/pfad/zur/datei.php

reporten.
 

Till

Administrator
#13
Ok, dann schau ich mir die sig mal an. Kannst Du mir eine von den falsch markieretn dateien als pm schicken oder über die fp reportfunktion des scriptes?
 
#15
Ich fände es übrigens extrem praktisch, wenn man beim Reporten von FP einen Schalter für y hätte. Dann würde das nämlich auch mit ner bash-schleife gehen.
 

Croydon

Super-Moderator
#16
Die Bash-Schleife sollte in dieser Art funktionieren, falls du etwas suchst, das automatisch "y" tippt.
Code:
for L in $(cat /path/to/list) ; do ./ispp_scan.sh --false-positive=${L} < /usr/bin/yes ; done
Inzwischen gibt es aber auch eine --force-yes Option.
 
Zuletzt bearbeitet:

hahni

Active Member
#17
Also bei mir hat das Tool zuverlässig und einwandfrei funktioniert. Ich konnte mich bezüglich der Software nicht beklagen. Tolle Sache an und für sich. Und eigentlich auch zuverlässiger als MalDet.
 

Werbung

Top