Malware / Virus scanner pentru linux

Eu pana acum am folosit Maldet si ClamAv ca sa gasesc malware pe servere. Problema este ca uneori mai hostez si aplicatii pe care nu am control complet (de genul wordpress) si vroiam o solutie generala de scanare care sa fie rulata zilnic si sa ma anunte si eventual sa curete infectiile.

Problema este ca Maldet desi spune ca asta ar face nu prea se descurca asa bine. Voi folositi ceva de genul acesta pe serverele voastre?

2 Likes

ClamAV pare a fi o solutie via un simplu cron

clamscan -ri --exclude-dir=^/sys\|^/proc\|^/dev / | mail -s "ClamAV Scan Results for `date +%D`" [email protected]

Insa not really sure daca poate prinde “virusi” clasici de wp?

Le-am incercat pe ambele si nu mi-au gasit. Eram curios daca aveti alte soft-uri care pot complementa.

O solutie custom ar fi: inainte de deploy un digest pt. fiecare sursa php in parte si un cron rulat noaptea sa le verifice (eventual digest-urile salvate extern) - daca sunt diferite burn everything down in flames (restore snapshot & redeploy)

La proiectele care sunt pe git e destul de usor de aflat daca ceva a fost tampered with. E mai mult intrebare de sysadministrare. Cel putin asa cum vad eu problema.

Yup daca deja folosesti git - check-ul devine banal - Insa nu face mare lucru daca sistemul a fost compromis.

Combinat cu ceva similar AIDE you should get much better security.

Solutia propusa nu este in a avea un AV ci practic un whitelist approach.

Merci, este o varianta buna. Ma uit acum mai in detaliu.

Mai ai ceva resurse pe care sa le consult?

bonus: http://www.rackspace.com/knowledge_center/article/scanning-for-rootkits-with-rkhunter

Merci, am si rkhunter instalat pe server, dar imi scade increderea in el pentru ca de cand l-am instalat, de aproximativ 6 luni, nu a avut nici un update. Are si cateva false positives.

Usurel offtopic, daca vrei neaparat pentru wordpress ai o extensie numita Wordfence Security care iti compara plugin-urile si fisierele din core cu repository-ul obisnuit si te anunta daca sunt modificari in fisiere. Ma rog, face mai multe, chiar am descoperit un malware din ala care iti “penetreaza” cpanel-ul pus pe un template din wordpress.

3 Likes

Intradevar ma ajuta sfatul tău. Wordfence security m-a ajutat pana acum. Il foloseam deja și l-aș recomanda și eu mai departe.

1 Like

Nu e nevoie de custom. Exista si se numeste tripwire.

1 Like

Daca ai instalat din repo-urile OS-ului ( yum / apt ) foarte posibil sa nu mai updateze. Ori compilezi din surse manual ca sa ai ultima versiune ori cauti un third-party repo care pune la dispozitie ultima versiune.

1 Like