So schützen Sie Cpanel/WHM vor bösartigen Uploads

Question 1

Es gibt mehrere Möglichkeiten, anzufangen:

- Wer war der Eigentümer der betreffenden Datei?

Wenn die Datei dem Apache-Benutzer gehörte/von ihm beschreibbar war, könnte die Kompromittierung in Ihrem eigentlichen Code liegen. Wenn die Datei nicht Apache gehört/von ihm beschreibbar ist, würde ich mir als Nächstes FTP ansehen.

– Haben Sie die FTP-Protokolle überprüft?

Sehen Sie sich die Protokolle an und prüfen Sie, ob jemand Ihre Datei heruntergeladen und einige Sekunden später erneut hochgeladen hat (jetzt mit schädlichem Inhalt). Dies deutet darauf hin, dass Ihre FTP-Daten kompromittiert wurden. Dies geschieht normalerweise entweder durch Erraten eines einfachen Passworts oder durch Abfangen der Daten, häufig von einem kompromittierten lokalen Windows-PC, der zum Hochladen der Dateien verwendet wird.

Die Art des Angriffs, die Sie beschreiben, ist recht verbreitet. Es handelt sich nicht um einen fortgeschrittenen Angriff und normalerweise wird nur eine einfache Sicherheitslücke in Ihrem System ausgenutzt (unsichere Passwörter, schlecht geschriebener Code usw.).

mod_securitywird verwendet, um bösartigen Code zu erkennen, der von Apache ausgeführt wird (z. B. SQL-Injection-Angriffe). Es verhindert nicht, dass der Code überhaupt hochgeladen wird.

Und als Antwort auf Ihre Frage: Ja, es gibt Antivirenanwendungen für Linux. Suchen Sie zunächst nach ClamAV.

Answer

Es gibt mehrere Möglichkeiten, anzufangen:

- Wer war der Eigentümer der betreffenden Datei?

Wenn die Datei dem Apache-Benutzer gehörte/von ihm beschreibbar war, könnte die Kompromittierung in Ihrem eigentlichen Code liegen. Wenn die Datei nicht Apache gehört/von ihm beschreibbar ist, würde ich mir als Nächstes FTP ansehen.

– Haben Sie die FTP-Protokolle überprüft?

Sehen Sie sich die Protokolle an und prüfen Sie, ob jemand Ihre Datei heruntergeladen und einige Sekunden später erneut hochgeladen hat (jetzt mit schädlichem Inhalt). Dies deutet darauf hin, dass Ihre FTP-Daten kompromittiert wurden. Dies geschieht normalerweise entweder durch Erraten eines einfachen Passworts oder durch Abfangen der Daten, häufig von einem kompromittierten lokalen Windows-PC, der zum Hochladen der Dateien verwendet wird.

Die Art des Angriffs, die Sie beschreiben, ist recht verbreitet. Es handelt sich nicht um einen fortgeschrittenen Angriff und normalerweise wird nur eine einfache Sicherheitslücke in Ihrem System ausgenutzt (unsichere Passwörter, schlecht geschriebener Code usw.).

mod_securitywird verwendet, um bösartigen Code zu erkennen, der von Apache ausgeführt wird (z. B. SQL-Injection-Angriffe). Es verhindert nicht, dass der Code überhaupt hochgeladen wird.

Und als Antwort auf Ihre Frage: Ja, es gibt Antivirenanwendungen für Linux. Suchen Sie zunächst nach ClamAV.

Question 2

Mit dem @inspectFile-Operator von ModSecurity und modsec-clamscan.pl können Sie den Inhalt einer Datei mit der folgenden Regel überprüfen:

SecRule FILES_TMPNAMES "@inspectFile /path/to/modsec-clamscan.pl" "phase:2,t:none,deny,log,msg:'Malicious code identified.'"

Schauen Sie sich anDas.

Answer

Mit dem @inspectFile-Operator von ModSecurity und modsec-clamscan.pl können Sie den Inhalt einer Datei mit der folgenden Regel überprüfen:

SecRule FILES_TMPNAMES "@inspectFile /path/to/modsec-clamscan.pl" "phase:2,t:none,deny,log,msg:'Malicious code identified.'"

Schauen Sie sich anDas.

So schützen Sie Cpanel/WHM vor bösartigen Uploads

Antwort1

Antwort2

verwandte Informationen