Recientemente, el archivo de mi sitio index.phpfue reemplazado con un código javascript malicioso.
Realmente no sé cómo se agregó a la página.
Hoy, cuando intenté descargar el archivo a través de FTP, mi software antivirus local me dio una advertencia. Supongo que esto significa que no se cargó desde mi computadora.
¿Hay alguna manera de instalar software antivirus en mi VPS (ejecutando CentOS 5 y Cpanel/WHM)?
También qué es mod_security. ¿Será útil en el futuro?
Respuesta1
Hay algunos lugares para comenzar:
- ¿Quién era el propietario del fichero en cuestión?
Si el archivo era propiedad del usuario de Apache o podía escribirlo, el compromiso podría estar en su código real. Si Apache no es propiedad del archivo ni puede escribirlo, a continuación miraría FTP.
- ¿Has revisado los registros de FTP?
Mire los registros y vea si alguien descargó su archivo y luego lo volvió a cargar unos segundos más tarde (ahora con contenido malicioso). Esto indica que sus datos de FTP se han visto comprometidos. Normalmente, esto se logra adivinando una contraseña fácil o interceptándola, a menudo desde una PC con Windows local comprometida que se utiliza para cargar los archivos.
El estilo de ataque que describe es bastante común. No es un ataque avanzado y normalmente simplemente explotará un simple agujero de seguridad en su sistema (contraseñas inseguras, código mal escrito, etc.).
mod_securityse utiliza para detectar código malicioso ejecutado por Apache (por ejemplo, ataques de inyección SQL). En primer lugar, no detendrá la carga del código.
Y en respuesta a su pregunta, sí, existen aplicaciones antivirus disponibles para Linux. Haga una búsqueda de ClamAV como punto de partida.
Respuesta2
Con el operador @inspectFile de ModSecurity y modsec-clamscan.pl, puede verificar el contenido de un archivo con la siguiente regla:
SecRule FILES_TMPNAMES "@inspectFile /path/to/modsec-clamscan.pl" "phase:2,t:none,deny,log,msg:'Malicious code identified.'"
Mira estoeste.