Недавно мой сайт index.php файл был заменен вредоносным кодом javascript.
Я действительно не знаю, как это было добавлено на страницу.
Сегодня, когда я попытался загрузить файл через FTP, моя локальная антивирусная программа выдала предупреждение. Полагаю, это означает, что он не был загружен с моего компьютера.
Есть ли способ установить антивирусное программное обеспечение на мой VPS (под управлением CentOS 5 и Cpanel / WHM)?
Также что mod_security. Будет ли это полезно в будущем?
Для начала есть несколько мест:
- Кто был владельцем рассматриваемого файла?
Если файл принадлежал / был доступен для записи пользователю Apache, компрометация могла быть в вашем реальном коде. Если файл не принадлежит / не доступен для записи Apache, я бы в следующий раз посмотрел на FTP.
- Вы проверили журналы FTP?
Просмотрите журналы и посмотрите, не загрузил ли кто-то ваш файл, а затем повторно загрузите его через несколько секунд (теперь с вредоносным содержимым). Это означает, что ваши данные FTP были скомпрометированы. Обычно это происходит либо путем угадывания простого пароля, либо путем его перехвата, часто со скомпрометированного локального ПК с ОС Windows, который используется для загрузки файлов.
Стиль атаки, который вы описываете, довольно распространен. Это не продвинутая атака, и обычно используется простая дыра в безопасности в вашей системе (небезопасные пароли, плохо написанный код и т. Д.).
mod_security используется для обнаружения вредоносного кода, выполняемого Apache (например, атаки SQL-инъекции). Это не остановит загрузку кода.
И отвечу на ваш вопрос: да, для Linux доступны антивирусные приложения. Поищите ClamAV в качестве отправной точки.
С помощью оператора ModSecurity @inspectFile и modsec-clamscan.pl вы можете проверить содержимое файла с помощью следующего правила:
SecRule FILES_TMPNAMES "@inspectFile /path/to/modsec-clamscan.pl" "phase:2,t:none,deny,log,msg:'Malicious code identified.'"
Посмотри на этот.