Я установил Linux Malware Detect и ClamAV на свой сервер CentOS 7 и кажется, что это ' все в порядке, поскольку он попадает в тестовые файлы вредоносных программ EICAR и выполняет плановое сканирование без проблем.
Проблема возникает, когда я загружаю настоящий PHP-файл вредоносного ПО, который я сохранил от предыдущей атаки в старом общем веб сервер. Мальдет не видит в нем вредоносный файл.
Я знаю, что любой антивирус может пропускать некоторые угрозы, но в данном случае это очень очевидный зараженный файл, IMO.
//footer.php
<?php
function nBMj($NrG)
{
$NrG=gzinflate(base64_decode($NrG));
for($i=0;$i<strlen($NrG);$i++)
{
$NrG[$i] = chr(ord($NrG[$i])-1);
}
return $NrG;
}
eval(nBMj("Some_base64_encoded_text"));
?>
Это очень распространенный способ взлома Wordpress, и он действительно даже не запутаны подозрительные функции.
Со страницы разработчика Maldet :
Features
- компонент статистического анализа для обнаружения скрытых угроз (например: нормальное поведение? Может быть, Maldet w / ClamAv не лучший инструмент для веб-сервера?
Я добавил сигнатуры вредоносных программ PHP (из https://malware.expert/signatures/ ) в ClamAV, и я успешно обнаружил некоторые из этих угроз. на веб-сайте WordPress.
Я что-то упускаю?
В основном да. Дело в том, что такие инструменты, как maldet
и clamav
, не предназначены для обеспечения 100% степени обнаружения и защиты от вредоносных программ. Даже антивирусные решения корпоративного класса могут не справиться с этим, но, по моему опыту (некоторые из них) намного лучше, чем эти два.
maldet
и clamav
помогут вам избавиться целую кучу вредоносных программ - а их, поверьте, очень много . Вторая часть вашего вопроса касается отсутствия некоторых очень известных вредоносных программ. К сожалению, бывает. Это предмет обсуждения.
Меня шокирует, что эти двое не могут обнаружить b374k Shell . Но опять же, это случается, и это доказывает, что даже если уровень обнаружения составлял 99,9%, не следует планировать стратегию безопасности, полагаясь на качество сканера защиты от вредоносных программ.
Просто добавьте еще 2 ¢ в этот ответ: файл с PHP
код, указанный в вопросе, безусловно, будет помечен как подозрительный с Детектором снаряда . Но будьте готовы ко множеству ложных срабатываний. Вам нужно будет проверить их на глаз и внести их в белый список.