Доброго времени суток.Есть web-сервер на котором хостится несколько десятков клиентских сайтов.
За содержимое своих каталогов отвечают клиенты - CMS там поставят или phpMyAdmin
Апач запущен в чруте, ядро патченое - враги не прорвутся )
Через дырявые скрипты(отсутствие аутентификации в админке/листинг конфигов) на сервер периодически заливаются веб-шеллы и фейковые страницы банков. Мы всё это дело периодически вычищаем (абуз не держим) ручками +скрипты самописные выручают. Вот о скриптах подробнее.
Срабатывает такой скрипт по вызову планировщика - раз в несколько часов. Ищет новые файлы, грепает их на предмет наличия интересных функций - passthru, exec, system, eval, etc +кусочки криптованых шелов (какие удалось собрать) и берёт на карандаш, если таковые имеются. Всё реже и реже встречаю НЕкриптованные шеллы, соответственно сигнатуры надо обновлять, а это время (и деньги).
Та же картина с внедрением криптованных ифреймов в легитимные страницы клиентов.
Существуют ли какие-нибудь антивирусы которые решают подобные задачи, причём, как с использованием сигнатурного метода (что делает самописный скрипт) с обновлением сигнатур, так и поведенческого анализа? В гугле ничего тольком не нашёл на эту тему (плохо искал?) - предлагаемые серверные защищают только ОС. В моём случае система в относительной безопастности (в том плане, что у врага очень ограничены права для выполнения системных команд и чтения файлов).
Как вы, господа админы, решаете подобную задачу?
Вариант для распечатки
Информационная безопасность (Блокирование спама и вирусов)
(ok) on 23-Окт-09, 23:13 
