Вопросы Теги

Maldet с ClamAV, у которого отсутствуют хаки PHP base64_decode () и eval ()

Я установил Linux Malware Detect и ClamAV на свой сервер CentOS 7 и кажется, что это ' все в порядке, поскольку он попадает в тестовые файлы вредоносных программ EICAR и выполняет плановое сканирование без проблем.

Проблема возникает, когда я загружаю настоящий PHP-файл вредоносного ПО, который я сохранил от предыдущей атаки в старом общем веб сервер. Мальдет не видит в нем вредоносный файл.

Я знаю, что любой антивирус может пропускать некоторые угрозы, но в данном случае это очень очевидный зараженный файл, IMO. 

//footer.php
<?php 
function nBMj($NrG)
{
    $NrG=gzinflate(base64_decode($NrG));
    for($i=0;$i<strlen($NrG);$i++)
    {
        $NrG[$i] = chr(ord($NrG[$i])-1);
    }
    return $NrG;
}
eval(nBMj("Some_base64_encoded_text"));
?>

Это очень распространенный способ взлома Wordpress, и он действительно даже не запутаны подозрительные функции.

Со страницы разработчика Maldet :

Features

  • компонент статистического анализа для обнаружения скрытых угроз (например: нормальное поведение? Может быть, Maldet w / ClamAv не лучший инструмент для веб-сервера?

1
задан 1 December 2016 в 13:09
2 ответа

Я добавил сигнатуры вредоносных программ PHP (из https://malware.expert/signatures/ ) в ClamAV, и я успешно обнаружил некоторые из этих угроз. на веб-сайте WordPress.

2
ответ дан 3 December 2019 в 18:32

Я что-то упускаю?

В основном да. Дело в том, что такие инструменты, как maldet и clamav , не предназначены для обеспечения 100% степени обнаружения и защиты от вредоносных программ. Даже антивирусные решения корпоративного класса могут не справиться с этим, но, по моему опыту (некоторые из них) намного лучше, чем эти два.

maldet и clamav помогут вам избавиться целую кучу вредоносных программ - а их, поверьте, очень много . Вторая часть вашего вопроса касается отсутствия некоторых очень известных вредоносных программ. К сожалению, бывает. Это предмет обсуждения.

Меня шокирует, что эти двое не могут обнаружить b374k Shell . Но опять же, это случается, и это доказывает, что даже если уровень обнаружения составлял 99,9%, не следует планировать стратегию безопасности, полагаясь на качество сканера защиты от вредоносных программ.

Просто добавьте еще 2 ¢ в этот ответ: файл с PHP код, указанный в вопросе, безусловно, будет помечен как подозрительный с Детектором снаряда . Но будьте готовы ко множеству ложных срабатываний. Вам нужно будет проверить их на глаз и внести их в белый список.

1
ответ дан 3 December 2019 в 18:32

Теги

Похожие вопросы