Назад | Перейти на главную страницу

Maldet с ClamAV, у которого отсутствуют хаки PHP base64_decode () и eval ()

Я установил Linux Malware Detect и ClamAV на свой сервер CentOS 7 и, похоже, все в порядке, так как он попадает в Файлы тестирования вредоносного ПО EICAR и выполняет плановое сканирование без проблем.

Проблема возникает, когда я загружаю настоящий PHP-файл вредоносного ПО, который я сохранил от предыдущей атаки на старый общий веб-сервер. Мальдет не считает это вредоносным файлом.

Я знаю, что все антивирусные программы могут пропускать некоторые угрозы, но в данном случае это очень очевидный зараженный файл, ИМО.

//footer.php
<?php 
function nBMj($NrG)
{
    $NrG=gzinflate(base64_decode($NrG));
    for($i=0;$i<strlen($NrG);$i++)
    {
        $NrG[$i] = chr(ord($NrG[$i])-1);
    }
    return $NrG;
}
eval(nBMj("Some_base64_encoded_text"));
?>

Это очень распространенный способ взлома Wordpress, в котором даже нет подозрительно функции запутаны.

Из Страница разработчика Maldet:

Характеристики

  • компонент статистического анализа для обнаружения скрытых угроз (например, base64)
  • правила очистки для удаления base64 и gzinflate (вредоносное ПО, внедренное в base64

Это веб-сервер с 10-20 сайтами, на которых работают популярные CMS, такие как drupal и wordpress, поэтому подавляющее большинство атак будет связано с заражениями файлов такого типа.

Итак, вопрос: я что-то упускаю? Есть ли какая-то особая конфигурация для скриптов base64 / gzinflate или это нормальное поведение? Может быть, Maldet w / ClamAv - не лучший инструмент для веб-сервера?

я добавил Сигнатуры вредоносных программ PHP (из https://malware.expert/signatures/) в ClamAV, и я успешно обнаружил некоторые из этих угроз на веб-сайте WordPress.

Я что-то упускаю?

В основном да. Дело в том, что такие инструменты, как maldet и clamav не обеспечивают 100% -ную степень обнаружения и защиту от вредоносных программ. Даже антивирусные решения корпоративного класса могут потерпеть неудачу, но, по моему опыту (некоторые из них) намного лучше этих двух.

maldet и clamav здесь, чтобы избавить вас от целого ряда вредоносных программ - и, поверьте мне, это много из них. Вторая часть вашего вопроса касается отсутствия некоторых очень известных вредоносных программ. К сожалению, так бывает. Это предмет обсуждения.

Меня шокирует, что эти двое не могут обнаружить b374k Оболочка. Но опять же, это случается и доказывает, что даже если уровень обнаружения был 99,9%, не следует планировать стратегию безопасности, полагаясь на качество сканера защиты от вредоносных программ.


Просто чтобы добавить в ответ еще 2 ¢: файл с PHP указанный код обязательно будет отмечен как подозрительный с Детектор снарядов. Но будьте готовы ко множеству ложных срабатываний. Вам придется проверить их на глаз и внести их в белый список.