최근 내 사이트의 index.php파일이 일부 악성 자바스크립트 코드로 대체되었습니다.
페이지에 어떻게 추가되었는지는 잘 모르겠습니다.
오늘 FTP를 통해 파일을 다운로드하려고 시도했을 때 로컬 바이러스 백신 소프트웨어에서 경고를 표시했습니다. 내 컴퓨터에서 업로드되지 않았다는 뜻인 것 같습니다.
내 VPS(CentOS 5 및 Cpanel/WHM 실행)에 바이러스 백신 소프트웨어를 설치할 수 있는 방법이 있습니까?
또한 mod_security. 앞으로도 도움이 될까요?
답변1
시작할 수 있는 몇 가지 장소가 있습니다:
- 문제의 파일의 소유자는 누구였나요?
Apache 사용자가 파일을 소유하거나 쓸 수 있는 경우 실제 코드에 손상이 있을 수 있습니다. 파일이 Apache에서 소유/쓰기 가능하지 않은 경우 다음에는 FTP를 살펴보겠습니다.
- FTP 로그를 확인하셨나요?
로그를 살펴보고 누군가가 귀하의 파일을 다운로드한 다음 몇 초 후에 다시 업로드했는지 확인하십시오(현재는 악성 콘텐츠 포함). 이는 FTP 세부 정보가 손상되었음을 나타냅니다. 이는 일반적으로 쉬운 비밀번호를 추측하거나 파일을 업로드하는 데 사용되는 손상된 로컬 Windows PC에서 비밀번호를 가로채는 방식으로 이루어집니다.
당신이 설명하는 공격 스타일은 매우 일반적입니다. 이는 고급 공격이 아니며 일반적으로 시스템의 단순한 보안 허점(안전하지 않은 비밀번호, 잘못 작성된 코드 등)을 악용할 뿐입니다.
mod_securityApache에서 실행되는 악성 코드(예: SQL 주입 공격)를 감지하는 데 사용됩니다. 처음부터 코드 업로드가 중단되지는 않습니다.
그리고 귀하의 질문에 대한 대답으로는 그렇습니다. Linux에서 사용할 수 있는 바이러스 백신 응용 프로그램이 있습니다. 시작 장소로 ClamAV를 검색해 보세요.
답변2
ModSecurity의 @inspectFile 연산자와 modsec-clamscan.pl을 사용하면 아래 규칙에 따라 파일 내용을 확인할 수 있습니다.
SecRule FILES_TMPNAMES "@inspectFile /path/to/modsec-clamscan.pl" "phase:2,t:none,deny,log,msg:'Malicious code identified.'"
보세요이것.