ISPC3: Schadsoftware Scanner für Webordner

andy1965

Member
Hallo Leute!

Da immer wieder CMS und Sites gehackt werden, würde ich gerne den www Ordner mit einem Scanner täglich überprüfen, welchen Scanner könnt ihr empfehlen?

Danke vorab.
 

robotto7831a

Well-Known Member
@Till
Ich bekomme beim Start folgende Fehlermeldung.
Downloading ionCube Loader for your system.
ionCube Check succeeded.
Failed loading /tmp/ioncube/ioncube_loader_lin_5.6.so: /tmp/ioncube/ioncube_loader_lin_5.6.so: undefined symbol: executor_globals
Site error: the file <b>/tmp/ispp_scan.php</b> requires the ionCube PHP Loader ioncube_loader_lin_5.6.so to be installed by the site administrator.
System: Debian Wheezy
 

Till

Administrator
Hi, könntest Du bitte mal die Audgabe von:

php -v

posten. Hast Du da ein manuell kompiliertes PHP laufen oder von einem anderen repo? Irgendwie scheint Dein commandline PHP threadsafety einkompiliert zu haben.
 

Till

Administrator
Der Scaner sollte jetzt auch mit PHP TS versionen laufen. Bitte einfach noch mal neu runter laden.
 

Till

Administrator
Ok, super. Und was gefunden?

Wir haben gerade noch ein größeres Signaturupdate eingespielt (Version 1.5.15).
 

Till

Administrator

Auf den Kundensystemen die ich gescannt hab waren fast keine false positives dabei. Was hat er denn bei Dir fälschlicherweise markiert? Wenn es um treffer in den webalizer stats geht, das sind keine FP sondern aufrufe von malware die es in die statistik geschafft haben, die kannst Du ignorieren nur wir können sie nicht whitelisten da es keine FP sind und wir dann auch die dafür verantwotliche malware mit whitelisten würden.

Du kannst false positives auch mit:

./ispp_scan.sh --false-positive=/pfad/zur/datei.php

reporten.
 

Till

Administrator
Ok, dann schau ich mir die sig mal an. Kannst Du mir eine von den falsch markieretn dateien als pm schicken oder über die fp reportfunktion des scriptes?
 

florian030

Well-Known Member
Ich fände es übrigens extrem praktisch, wenn man beim Reporten von FP einen Schalter für y hätte. Dann würde das nämlich auch mit ner bash-schleife gehen.
 

Croydon

Super-Moderator
Die Bash-Schleife sollte in dieser Art funktionieren, falls du etwas suchst, das automatisch "y" tippt.
Code:
for L in $(cat /path/to/list) ; do ./ispp_scan.sh --false-positive=${L} < /usr/bin/yes ; done

Inzwischen gibt es aber auch eine --force-yes Option.
 
Zuletzt bearbeitet:

hahni

Active Member
Also bei mir hat das Tool zuverlässig und einwandfrei funktioniert. Ich konnte mich bezüglich der Software nicht beklagen. Tolle Sache an und für sich. Und eigentlich auch zuverlässiger als MalDet.
 

Werbung

Top