最近、私のサイトのindex.phpファイルが悪意のある JavaScript コードに置き換えられました。
それがどのようにしてページに追加されたのか本当にわかりません。
今日、FTP 経由でファイルをダウンロードしようとしたところ、ローカルのウイルス対策ソフトウェアから警告が出ました。これは、ファイルが自分のコンピューターからアップロードされていないことを意味していると思われます。
VPS (CentOS 5 および Cpanel/WHM を実行) にウイルス対策ソフトウェアをインストールする方法はありますか?
また、 とは何ですかmod_security。将来役立ちますか?
答え1
始める場所はいくつかあります:
- 問題のファイルの所有者は誰でしたか?
ファイルが Apache ユーザによって所有/書き込み可能であった場合、実際のコードに侵害がある可能性があります。ファイルが Apache によって所有/書き込み可能でない場合は、次に FTP を確認します。
- FTP ログを確認しましたか?
ログを調べて、誰かがあなたのファイルをダウンロードし、数秒後に(今度は悪意のあるコンテンツとともに)再アップロードしたかどうかを確認します。これは、FTP の詳細が侵害されたことを示しています。これは通常、簡単なパスワードを推測するか、ファイルのアップロードに使用された侵害されたローカル Windows PC から傍受することによって行われます。
あなたが説明した攻撃のスタイルは、非常に一般的です。これは高度な攻撃ではなく、通常はシステムの単純なセキュリティ ホール (安全でないパスワード、不適切に記述されたコードなど) を悪用するだけです。
mod_securityApache によって実行される悪意のあるコード (SQL インジェクション攻撃など) を検出するために使用されます。そもそもコードのアップロードを阻止することはできません。
ご質問への回答としては、はい、Linux で使用できるウイルス対策アプリケーションがあります。まずは ClamAV を検索してみてください。
答え2
ModSecurity の @inspectFile 演算子と modsec-clamscan.pl を使用すると、以下のルールでファイルの内容を確認できます。
SecRule FILES_TMPNAMES "@inspectFile /path/to/modsec-clamscan.pl" "phase:2,t:none,deny,log,msg:'Malicious code identified.'"
見てこれ。