forum.opennet.ru

Составление сообщения

Исходное сообщение

"антивирус для хостинга"
Отправлено ciwl, 23-Окт-09 23:13

Доброго времени суток.
Есть web-сервер на котором хостится несколько десятков клиентских сайтов.
За содержимое своих каталогов отвечают клиенты - CMS там поставят или phpMyAdmin
Апач запущен в чруте, ядро патченое - враги не прорвутся )
Через дырявые скрипты(отсутствие аутентификации в админке/листинг конфигов) на сервер периодически заливаются веб-шеллы и фейковые страницы банков. Мы всё это дело периодически вычищаем (абуз не держим) ручками +скрипты самописные выручают. Вот о скриптах подробнее.
Срабатывает такой скрипт по вызову планировщика - раз в несколько часов. Ищет новые файлы, грепает их на предмет наличия интересных функций - passthru, exec, system, eval, etc +кусочки криптованых шелов (какие удалось собрать) и берёт на карандаш, если таковые имеются. Всё реже и реже встречаю НЕкриптованные шеллы, соответственно сигнатуры надо обновлять, а это время (и деньги).
Та же картина с внедрением криптованных ифреймов в легитимные страницы клиентов.
Существуют ли какие-нибудь антивирусы которые решают подобные задачи, причём, как с использованием сигнатурного метода (что делает самописный скрипт) с обновлением сигнатур, так и поведенческого анализа? В гугле ничего тольком не нашёл на эту тему (плохо искал?) - предлагаемые серверные защищают только ОС. В моём случае система в относительной безопастности (в том плане, что у врага очень ограничены права для выполнения системных команд и чтения файлов).
Как вы, господа админы, решаете подобную задачу?

Исходное сообщение
"антивирус для хостинга" Отправлено ciwl, 23-Окт-09 23:13
Доброго времени суток. Есть web-сервер на котором хостится несколько десятков клиентских сайтов. За содержимое своих каталогов отвечают клиенты - CMS там поставят или phpMyAdmin Апач запущен в чруте, ядро патченое - враги не прорвутся ) Через дырявые скрипты(отсутствие аутентификации в админке/листинг конфигов) на сервер периодически заливаются веб-шеллы и фейковые страницы банков. Мы всё это дело периодически вычищаем (абуз не держим) ручками +скрипты самописные выручают. Вот о скриптах подробнее. Срабатывает такой скрипт по вызову планировщика - раз в несколько часов. Ищет новые файлы, грепает их на предмет наличия интересных функций - passthru, exec, system, eval, etc +кусочки криптованых шелов (какие удалось собрать) и берёт на карандаш, если таковые имеются. Всё реже и реже встречаю НЕкриптованные шеллы, соответственно сигнатуры надо обновлять, а это время (и деньги). Та же картина с внедрением криптованных ифреймов в легитимные страницы клиентов. Существуют ли какие-нибудь антивирусы которые решают подобные задачи, причём, как с использованием сигнатурного метода (что делает самописный скрипт) с обновлением сигнатур, так и поведенческого анализа? В гугле ничего тольком не нашёл на эту тему (плохо искал?) - предлагаемые серверные защищают только ОС. В моём случае система в относительной безопастности (в том плане, что у врага очень ограничены права для выполнения системных команд и чтения файлов). Как вы, господа админы, решаете подобную задачу?

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Доброго времени суток.

> Есть web-сервер на котором хостится несколько десятков клиентских сайтов.
> За содержимое своих каталогов отвечают клиенты - CMS там поставят или phpMyAdmin 
 
> Апач запущен в чруте, ядро патченое - враги не прорвутся ) 
> Через дырявые скрипты(отсутствие аутентификации в админке/листинг конфигов) на сервер 
> периодически заливаются веб-шеллы и фейковые страницы банков. Мы всё это дело 
> периодически вычищаем (абуз не держим) ручками +скрипты самописные выручают. Вот о 
> скриптах подробнее.
> Срабатывает такой скрипт по вызову планировщика - раз в несколько часов. Ищет 
> новые файлы, грепает их на предмет наличия интересных функций - passthru, 
> exec, system, eval, etc +кусочки криптованых шелов (какие удалось собрать) и 
> берёт на карандаш, если таковые имеются. Всё реже и реже встречаю 
> НЕкриптованные шеллы, соответственно сигнатуры надо обновлять, а это время (и деньги). 
 
> Та же картина с внедрением криптованных ифреймов в легитимные страницы клиентов.
> Существуют ли какие-нибудь антивирусы которые решают подобные задачи, причём, как с использованием 
> сигнатурного метода (что делает самописный скрипт) с обновлением сигнатур, так и 
> поведенческого анализа? В гугле ничего тольком не нашёл на эту тему 
> (плохо искал?) - предлагаемые серверные защищают только ОС. В моём случае 
> система в относительной безопастности (в том плане, что у врага очень 
> ограничены права для выполнения системных команд и чтения файлов).
> Как вы, господа админы, решаете подобную задачу?

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру