URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4396
[ Назад ]

Исходное сообщение
"антивирус для хостинга"
Отправлено ciwl , 23-Окт-09 23:13

Доброго времени суток.
Есть web-сервер на котором хостится несколько десятков клиентских сайтов.
За содержимое своих каталогов отвечают клиенты - CMS там поставят или phpMyAdmin
Апач запущен в чруте, ядро патченое - враги не прорвутся )
Через дырявые скрипты(отсутствие аутентификации в админке/листинг конфигов) на сервер периодически заливаются веб-шеллы и фейковые страницы банков. Мы всё это дело периодически вычищаем (абуз не держим) ручками +скрипты самописные выручают. Вот о скриптах подробнее.
Срабатывает такой скрипт по вызову планировщика - раз в несколько часов. Ищет новые файлы, грепает их на предмет наличия интересных функций - passthru, exec, system, eval, etc +кусочки криптованых шелов (какие удалось собрать) и берёт на карандаш, если таковые имеются. Всё реже и реже встречаю НЕкриптованные шеллы, соответственно сигнатуры надо обновлять, а это время (и деньги).
Та же картина с внедрением криптованных ифреймов в легитимные страницы клиентов.
Существуют ли какие-нибудь антивирусы которые решают подобные задачи, причём, как с использованием сигнатурного метода (что делает самописный скрипт) с обновлением сигнатур, так и поведенческого анализа? В гугле ничего тольком не нашёл на эту тему (плохо искал?) - предлагаемые серверные защищают только ОС. В моём случае система в относительной безопастности (в том плане, что у врага очень ограничены права для выполнения системных команд и чтения файлов).
Как вы, господа админы, решаете подобную задачу?

Содержание

антивирус для хостинга,Андрей458, 23:06 , 26-Окт-09
- антивирус для хостинга,ciwl, 11:12 , 27-Окт-09
  - антивирус для хостинга,sHaggY_caT, 04:21 , 01-Май-10

Сообщения в этом обсуждении

"антивирус для хостинга"
Отправлено Андрей458 , 26-Окт-09 23:06

Интересно. Погуглил. Нашёл вот это:
http://www.gamasec.com/home.aspx
Глянь (название дурацкое :))
Может есть какие-то аналоги или сравнения в инете...

"антивирус для хостинга"
Отправлено ciwl , 27-Окт-09 11:12

>Интересно. Погуглил. Нашёл вот это:
>
>http://www.gamasec.com/home.aspx
>
>Глянь (название дурацкое :))
>
>Может есть какие-то аналоги или сравнения в инете...
Пацтулом. Представляю баннер :" Наш хостинг под защитой GamaSec! Ни один gamasec не пройдёт!"
А серьёзно - это не тот софт, который требуется по сабжу. Очередной сканер web-уязвимостей, к тому же ещё платный. Тысячи их. А тут шелы отыскать надобно, да ифреймы криптованные. Вот таких пакетов не видел - ни платных, ни бесплатных.

"антивирус для хостинга"
Отправлено sHaggY_caT , 01-Май-10 04:21

>[оверквотинг удален]
>>Глянь (название дурацкое :))
>>
>>Может есть какие-то аналоги или сравнения в инете...
>
>Пацтулом. Представляю баннер :" Наш хостинг под защитой GamaSec! Ни один gamasec
>не пройдёт!"
>А серьёзно - это не тот софт, который требуется по сабжу. Очередной
>сканер web-уязвимостей, к тому же ещё платный. Тысячи их. А тут
>шелы отыскать надобно, да ифреймы криптованные. Вот таких пакетов не видел
>- ни платных, ни бесплатных.
На сколько я знаю, решения нет. Нужно договариваться с оператором ДЦ, что бы не выключал порт по абузе.