forum.opennet.ru - "чем просканировать сайты на предмет малвари?" (11)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"чем просканировать сайты на предмет малвари?"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"чем просканировать сайты на предмет малвари?"		+/–
Сообщение от greg (??) on 18-Окт-09, 10:51
ситуация: Хостинг, много разных сайтов, юзера периодически-постоянно, гм, "сдают" пароли троянам, после чего на сайтах появляются разного рода паразитные ссылки, не предусмотренные скрипты, и т.д. хотелось бы иметь возможность все это хозяйство как-то сканировать. когда-то один раз мне такое поймал clamav, но это работает не со всеми технологиями такого заражения. Заранее спасибо.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

чем просканировать сайты на предмет малвари?, sHaggY_caT, 13:32 , 18-Окт-09, (1)

чем просканировать сайты на предмет малвари?, greg, 14:26 , 18-Окт-09, (2)

чем просканировать сайты на предмет малвари?, sHaggY_caT, 15:57 , 18-Окт-09, (3)

чем просканировать сайты на предмет малвари?, Square, 16:26 , 18-Окт-09, (4)
чем просканировать сайты на предмет малвари?, shadow_alone, 18:43 , 18-Окт-09, (5)

чем просканировать сайты на предмет малвари?, Square, 18:59 , 18-Окт-09, (6)

чем просканировать сайты на предмет малвари?, shadow_alone, 19:19 , 18-Окт-09, (7)

чем просканировать сайты на предмет малвари?, sHaggY_caT, 19:56 , 18-Окт-09, (8)

чем просканировать сайты на предмет малвари?, angra, 21:25 , 18-Окт-09, (9)

чем просканировать сайты на предмет малвари?, greg, 22:55 , 18-Окт-09, (10)
чем просканировать сайты на предмет малвари?, sHaggY_caT, 22:57 , 18-Окт-09, (11)

Сообщения по теме [Сортировка по времени | RSS]

1. "чем просканировать сайты на предмет малвари?" +/–

Сообщение от sHaggY_caT (ok) on 18-Окт-09, 13:32

>ситуация: Хостинг, много разных сайтов, юзера периодически-постоянно, гм, "сдают" пароли троянам, после
>чего на сайтах появляются разного рода паразитные ссылки, не предусмотренные скрипты,
>и т.д.
>хотелось бы иметь возможность все это хозяйство как-то сканировать.
>когда-то один раз мне такое поймал clamav, но это работает не со
>всеми технологиями такого заражения.
>Заранее спасибо.
Мне самой тоже была бы очень интересна информация от кого-нибудь по готовому решению.
Единственная схема, что приходит в голову, скриптик, который парсит виртуальные хосты апача, делает GET (игнорируя DNS, непосредственно с IP веб-сервера), а дальше html-код парсит связка squid + тот же ICAP, занося каждый факт срабатывания в лог. Можно запускать этот скрипт по крону.
Дальше, другой скрипт парсит лог, и обеспечивает попадание события в тот же Nagios.
Анализировать непосредственно файлы на диске сервера мне кажется нереальным, так как это сложнее, чем написать заново свою реализацию браузера.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "чем просканировать сайты на предмет малвари?" +/–

Сообщение от greg (??) on 18-Окт-09, 14:26

тут тоже есть проблема, как быть, если малварь сидит не в открытой области, а, допустим, в админзоне? самая частая у нас ситуация.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "чем просканировать сайты на предмет малвари?" +/–

Сообщение от sHaggY_caT (ok) on 18-Окт-09, 15:57

>тут тоже есть проблема, как быть, если малварь сидит не в открытой
>области, а, допустим, в админзоне? самая частая у нас ситуация.
Если найдете решение, пожалуйста, отпишитесь...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "чем просканировать сайты на предмет малвари?" +/–

Сообщение от Square (ok) on 18-Окт-09, 16:26

>ситуация: Хостинг, много разных сайтов, юзера периодически-постоянно, гм, "сдают" пароли троянам, после
>чего на сайтах появляются разного рода паразитные ссылки, не предусмотренные скрипты,
>и т.д.
А как вы отличите ссылку предусмотренную от непредусмотренной? Собственно если есть список урлов, или конструкций- то есть поиск по сигнатуре- то натравить на структуру каталогов антивирь...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "чем просканировать сайты на предмет малвари?" +/–

Сообщение от shadow_alone (ok) on 18-Окт-09, 18:43

а вы никогда не думали нормально мониторить сервак?
а то советов тут понадавали....
включите logwatch , настройте на свое мыло и внимательно читайте логи.
видете несколько коннектов с разных IP по одному логину, меняйте пароль.
по поводу зачистки, ищите на предмет iframe

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "чем просканировать сайты на предмет малвари?" +/–

Сообщение от Square (ok) on 18-Окт-09, 18:59

>а то советов тут понадавали....
>видете несколько коннектов с разных IP по одному логину, меняйте пароль.
динамический адрес?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "чем просканировать сайты на предмет малвари?" +/–

Сообщение от shadow_alone (ok) on 18-Окт-09, 19:19

при чем тут динамический или нет?
вообще с головой не в порядке?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "чем просканировать сайты на предмет малвари?" +/–

Сообщение от sHaggY_caT (ok) on 18-Окт-09, 19:56

>а вы никогда не думали нормально мониторить сервак?
>а то советов тут понадавали....
>включите logwatch , настройте на свое мыло и внимательно читайте логи.
>видете несколько коннектов с разных IP по одному логину, меняйте пароль.
Мониторить не помогает, чернушники люди изворотливые... Они будут ломать с машины web-мастера, когда увидят, что все, что они делают, вычищают. У нас они и не с такими хитростями научились бороться (у нас типовые скелеты директорий в document root, мы запрещали заливку по ftp в некоторые директории, они все равно придумали, как это обойти)
>по поводу зачистки, ищите на предмет iframe
Уже давно не актуально, используют js-генерацию HTML-кода на лету, на диске будет лежать абракадабра(или даже на взгляд человека нечто пристойное), под которую не подберешь регэксп.
Единственное решение проблемы, которое мне известно, это глобальный запрет ftp, ботнетоводам лень заморачиваться (на этом этапе) с перехватом нажатий клавиш на затрояненных машинах web-мастеров, по этому scp/sftp сейчас решает проблему.
То, что я писала, есть попытка глобального решения проблемы, но, действительно, из-за запароленности некоторых разделов это тоже не решение.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "чем просканировать сайты на предмет малвари?" +/–

Сообщение от angra (ok) on 18-Окт-09, 21:25

Сдается вы пытаетесь лечить симптомы, а не болезнь. С технической стороны нужно обеспечить полную изоляцию контента пользователей друг от друга. С административной указать в договоре, что пользователь сам ответственен за все изменения контента. Ну и желательно предоставлять пользователям возможности бэкапа.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "чем просканировать сайты на предмет малвари?" +/–

Сообщение от greg (??) on 18-Окт-09, 22:55

все изолировано, в договорах все прописано... и все-же....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "чем просканировать сайты на предмет малвари?" +/–

Сообщение от sHaggY_caT (ok) on 18-Окт-09, 22:57

>Сдается вы пытаетесь лечить симптомы, а не болезнь. С технической стороны нужно
>обеспечить полную изоляцию контента пользователей друг от друга. С административной указать
>в договоре, что пользователь сам ответственен за все изменения контента. Ну
>и желательно предоставлять пользователям возможности бэкапа.
open_base_dir + отключение system (или вообще каждый пользователь в контейнере) используют все, как и договор, где "пользователь сам во всем виноват", но спрос рождает предложение... Если его удастся родить... :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "чем просканировать сайты на предмет малвари?"		+/–
Сообщение от sHaggY_caT (ok) on 18-Окт-09, 13:32
>ситуация: Хостинг, много разных сайтов, юзера периодически-постоянно, гм, "сдают" пароли троянам, после >чего на сайтах появляются разного рода паразитные ссылки, не предусмотренные скрипты, >и т.д. >хотелось бы иметь возможность все это хозяйство как-то сканировать. >когда-то один раз мне такое поймал clamav, но это работает не со >всеми технологиями такого заражения. >Заранее спасибо. Мне самой тоже была бы очень интересна информация от кого-нибудь по готовому решению. Единственная схема, что приходит в голову, скриптик, который парсит виртуальные хосты апача, делает GET (игнорируя DNS, непосредственно с IP веб-сервера), а дальше html-код парсит связка squid + тот же ICAP, занося каждый факт срабатывания в лог. Можно запускать этот скрипт по крону. Дальше, другой скрипт парсит лог, и обеспечивает попадание события в тот же Nagios. Анализировать непосредственно файлы на диске сервера мне кажется нереальным, так как это сложнее, чем написать заново свою реализацию браузера.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "чем просканировать сайты на предмет малвари?"		+/–
	Сообщение от greg (??) on 18-Окт-09, 14:26
	тут тоже есть проблема, как быть, если малварь сидит не в открытой области, а, допустим, в админзоне? самая частая у нас ситуация.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "чем просканировать сайты на предмет малвари?"		+/–
	Сообщение от sHaggY_caT (ok) on 18-Окт-09, 15:57
	>тут тоже есть проблема, как быть, если малварь сидит не в открытой >области, а, допустим, в админзоне? самая частая у нас ситуация. Если найдете решение, пожалуйста, отпишитесь...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

4. "чем просканировать сайты на предмет малвари?"		+/–
Сообщение от Square (ok) on 18-Окт-09, 16:26
>ситуация: Хостинг, много разных сайтов, юзера периодически-постоянно, гм, "сдают" пароли троянам, после >чего на сайтах появляются разного рода паразитные ссылки, не предусмотренные скрипты, >и т.д. А как вы отличите ссылку предусмотренную от непредусмотренной? Собственно если есть список урлов, или конструкций- то есть поиск по сигнатуре- то натравить на структуру каталогов антивирь...
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

5. "чем просканировать сайты на предмет малвари?"		+/–
Сообщение от shadow_alone (ok) on 18-Окт-09, 18:43
а вы никогда не думали нормально мониторить сервак? а то советов тут понадавали.... включите logwatch , настройте на свое мыло и внимательно читайте логи. видете несколько коннектов с разных IP по одному логину, меняйте пароль. по поводу зачистки, ищите на предмет iframe
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "чем просканировать сайты на предмет малвари?"		+/–
	Сообщение от Square (ok) on 18-Окт-09, 18:59
	>а то советов тут понадавали.... >видете несколько коннектов с разных IP по одному логину, меняйте пароль. динамический адрес?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "чем просканировать сайты на предмет малвари?"		+/–
	Сообщение от shadow_alone (ok) on 18-Окт-09, 19:19
	при чем тут динамический или нет? вообще с головой не в порядке?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "чем просканировать сайты на предмет малвари?"		+/–
	Сообщение от sHaggY_caT (ok) on 18-Окт-09, 19:56
	>а вы никогда не думали нормально мониторить сервак? >а то советов тут понадавали.... >включите logwatch , настройте на свое мыло и внимательно читайте логи. >видете несколько коннектов с разных IP по одному логину, меняйте пароль. Мониторить не помогает, чернушники люди изворотливые... Они будут ломать с машины web-мастера, когда увидят, что все, что они делают, вычищают. У нас они и не с такими хитростями научились бороться (у нас типовые скелеты директорий в document root, мы запрещали заливку по ftp в некоторые директории, они все равно придумали, как это обойти) >по поводу зачистки, ищите на предмет iframe Уже давно не актуально, используют js-генерацию HTML-кода на лету, на диске будет лежать абракадабра(или даже на взгляд человека нечто пристойное), под которую не подберешь регэксп. Единственное решение проблемы, которое мне известно, это глобальный запрет ftp, ботнетоводам лень заморачиваться (на этом этапе) с перехватом нажатий клавиш на затрояненных машинах web-мастеров, по этому scp/sftp сейчас решает проблему. То, что я писала, есть попытка глобального решения проблемы, но, действительно, из-за запароленности некоторых разделов это тоже не решение.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

9. "чем просканировать сайты на предмет малвари?"		+/–
Сообщение от angra (ok) on 18-Окт-09, 21:25
Сдается вы пытаетесь лечить симптомы, а не болезнь. С технической стороны нужно обеспечить полную изоляцию контента пользователей друг от друга. С административной указать в договоре, что пользователь сам ответственен за все изменения контента. Ну и желательно предоставлять пользователям возможности бэкапа.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "чем просканировать сайты на предмет малвари?"		+/–
	Сообщение от greg (??) on 18-Окт-09, 22:55
	все изолировано, в договорах все прописано... и все-же....
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "чем просканировать сайты на предмет малвари?"		+/–
	Сообщение от sHaggY_caT (ok) on 18-Окт-09, 22:57
	>Сдается вы пытаетесь лечить симптомы, а не болезнь. С технической стороны нужно >обеспечить полную изоляцию контента пользователей друг от друга. С административной указать >в договоре, что пользователь сам ответственен за все изменения контента. Ну >и желательно предоставлять пользователям возможности бэкапа. open_base_dir + отключение system (или вообще каждый пользователь в контейнере) используют все, как и договор, где "пользователь сам во всем виноват", но спрос рождает предложение... Если его удастся родить... :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору