Recentemente, o arquivo do meu site index.phpfoi substituído por algum código javascript malicioso.
Eu realmente não sei como isso foi adicionado à página.
Hoje, quando tentei baixar o arquivo via FTP, meu software antivírus local me avisou. Presumo que isso significa que não foi carregado do meu computador.
Existe alguma maneira de instalar software antivírus no meu VPS (executando CentOS 5 e Cpanel/WHM)?
Também o que é mod_security. Será útil no futuro?
Responder1
Existem alguns lugares para começar:
- Quem era o proprietário do arquivo em questão?
Se o arquivo pertencer/gravar ao usuário do Apache, o comprometimento poderá estar no seu código real. Se o arquivo não pertencer/gravar pelo Apache, em seguida, examinarei o FTP.
- Você verificou os logs do FTP?
Examine os registros e veja se alguém baixou seu arquivo e o reenviou alguns segundos depois (agora com conteúdo malicioso). Isso indica que seus detalhes de FTP foram comprometidos. Normalmente, isso ocorre adivinhando uma senha fácil ou interceptando-a, geralmente de um PC Windows local comprometido usado para fazer upload dos arquivos.
O estilo de ataque que você descreve é bastante comum. Não é um ataque avançado e normalmente explora apenas uma simples falha de segurança no seu sistema (senhas inseguras, código mal escrito, etc.).
mod_securityé usado para detectar código malicioso sendo executado pelo Apache (por exemplo, ataques de injeção de SQL). Isso não impedirá o upload do código em primeiro lugar.
E em resposta à sua pergunta, sim, existem aplicativos antivírus disponíveis para Linux. Faça uma pesquisa por ClamAV como ponto de partida.
Responder2
Com o operador @inspectFile do ModSecurity e o modsec-clamscan.pl, você pode verificar o conteúdo de um arquivo com a regra abaixo:
SecRule FILES_TMPNAMES "@inspectFile /path/to/modsec-clamscan.pl" "phase:2,t:none,deny,log,msg:'Malicious code identified.'"
Dê uma olhada emesse.