最近我網站的index.php檔案被一些惡意 JavaScript 程式碼取代。
我真的不知道它是如何添加到頁面上的。
今天,當我嘗試透過 FTP 下載該檔案時,我的本機防毒軟體向我發出了警告。我認為這意味著它不是從我的電腦上傳的。
有沒有辦法在我的 VPS(運行 CentOS 5 和 Cpanel/WHM)上安裝防毒軟體?
還有什麼是mod_security.對以後有幫助嗎?
答案1
有幾個地方可以開始:
- 誰是相關文件的所有者?
如果該檔案由 Apache 使用者擁有/可寫,那麼您的實際程式碼中可能會受到損害。如果該檔案不是 Apache 所擁有/不可寫入的,我接下來會查看 FTP。
- 您檢查過 FTP 日誌嗎?
查看日誌,看看是否有人下載了您的文件,然後在幾秒鐘後重新上傳(現在帶有惡意內容)。這表明您的 FTP 詳細資訊已洩露。這通常是透過猜測簡單的密碼或透過攔截密碼來實現的,通常是從用於上傳檔案的受感染的本機 Windows PC 中攔截密碼。
您所描述的攻擊方式很常見。這不是進階攻擊,通常只是利用系統中的一個簡單的安全漏洞(不安全的密碼、寫得不好的程式碼等)。
mod_security用於偵測 Apache 執行的惡意程式碼(例如 SQL 注入攻擊)。它不會先阻止程式碼上傳。
回答你的問題,是的,有適用於 Linux 的防毒應用程式。搜尋 ClamAV 作為起點。
答案2
使用 ModSecurity 的 @inspectFile 運算子和 modsec-clamscan.pl,您可以使用以下規則檢查檔案的內容:
SecRule FILES_TMPNAMES "@inspectFile /path/to/modsec-clamscan.pl" "phase:2,t:none,deny,log,msg:'Malicious code identified.'"
看一下這。