Я установил Linux Malware Detect и ClamAV на свой сервер CentOS 7 и, похоже, все в порядке, так как он попадает в Файлы тестирования вредоносного ПО EICAR и выполняет плановое сканирование без проблем.
Проблема возникает, когда я загружаю настоящий PHP-файл вредоносного ПО, который я сохранил от предыдущей атаки на старый общий веб-сервер. Мальдет не считает это вредоносным файлом.
Я знаю, что все антивирусные программы могут пропускать некоторые угрозы, но в данном случае это очень очевидный зараженный файл, ИМО.
//footer.php
<?php
function nBMj($NrG)
{
$NrG=gzinflate(base64_decode($NrG));
for($i=0;$i<strlen($NrG);$i++)
{
$NrG[$i] = chr(ord($NrG[$i])-1);
}
return $NrG;
}
eval(nBMj("Some_base64_encoded_text"));
?>
Это очень распространенный способ взлома Wordpress, в котором даже нет подозрительно функции запутаны.
Из Страница разработчика Maldet:
Характеристики
- компонент статистического анализа для обнаружения скрытых угроз (например, base64)
- правила очистки для удаления base64 и gzinflate (вредоносное ПО, внедренное в base64
Это веб-сервер с 10-20 сайтами, на которых работают популярные CMS, такие как drupal и wordpress, поэтому подавляющее большинство атак будет связано с заражениями файлов такого типа.
Итак, вопрос: я что-то упускаю? Есть ли какая-то особая конфигурация для скриптов base64 / gzinflate или это нормальное поведение? Может быть, Maldet w / ClamAv - не лучший инструмент для веб-сервера?
я добавил Сигнатуры вредоносных программ PHP (из https://malware.expert/signatures/) в ClamAV, и я успешно обнаружил некоторые из этих угроз на веб-сайте WordPress.
Я что-то упускаю?
В основном да. Дело в том, что такие инструменты, как maldet
и clamav
не обеспечивают 100% -ную степень обнаружения и защиту от вредоносных программ. Даже антивирусные решения корпоративного класса могут потерпеть неудачу, но, по моему опыту (некоторые из них) намного лучше этих двух.
maldet
и clamav
здесь, чтобы избавить вас от целого ряда вредоносных программ - и, поверьте мне, это много из них. Вторая часть вашего вопроса касается отсутствия некоторых очень известных вредоносных программ. К сожалению, так бывает. Это предмет обсуждения.
Меня шокирует, что эти двое не могут обнаружить b374k Оболочка. Но опять же, это случается и доказывает, что даже если уровень обнаружения был 99,9%, не следует планировать стратегию безопасности, полагаясь на качество сканера защиты от вредоносных программ.
Просто чтобы добавить в ответ еще 2 ¢: файл с PHP
указанный код обязательно будет отмечен как подозрительный с Детектор снарядов. Но будьте готовы ко множеству ложных срабатываний. Вам придется проверить их на глаз и внести их в белый список.