форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[ Отслеживать ]

"Сканирование загружаемого контента."

Сообщение от Юрий (??) on 27-Апр-09, 17:30

Появилась такая задача: Надо сканировать загружаемые через пхп-скрипты файлы на вирусы. Пхп-скриптов может быть много и не про все знаем. Пока написал следующее. Выделил для загружаемых отдельную папку  upload_tmp_dir (Чтобы в  стандартной /tmp  не дергать сейшены.) За этой папкой слежу через inotify (Использую incron) /tmpdir IN_CREATE /usr/local/scripts/scaner $@$# В сканере все просто clamscan --move=/tmpdir/carantin $1 --leave-temps Момент заливки файла ловит, передает его на сканер, он его сканит и вирус находит, но не успевает файл блокнуть так как пхп уже мувнул файл в нужное ему место из временное папки. Как притормозить эту самую переброску загруженного файла? По событию создания файла блокировать его на передвижение чем-нибудь? Как в этом случае поведут себя пхп скрипты? Будут вылетать только по макс_екзекушен_тайм или им не понравятся  такие махинации?

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Сканирование загружаемого контента."

Сообщение от angra (ok) on 27-Апр-09, 17:39

Это называется "на водке пропиваем, на спичках экономим". Если вы позволяете работать _произвольным_ скриптам аплоада, то о таких мелочах как вирусы можете не беспокоится, ищите лучше кучу веб-шеллов, а может уже и руткитов :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Сканирование загружаемого контента."
	Сообщение от Юрий (??) on 27-Апр-09, 17:47
	>Это называется "на водке пропиваем, на спичках экономим". Если вы позволяете работать >_произвольным_ скриптам аплоада, то о таких мелочах как вирусы можете не >беспокоится, ищите лучше кучу веб-шеллов, а может уже и руткитов :) > Я не сказал произвольные. Есть просто несколько проектов на сервере. Аплоадеры к каждому из них писались квалифицированными программистами и в них базовые проверки файлов есть, но сейчас захотелось на всякий случай еще с этой стороны обезопасится. Просто возможно не о всех аплоадах мне известно, потому поставил задачу шире чем она есть. Возможно достаточно по известным аплоадерам пробежаться и перепроверить их. Но программистам - программистское, а мне пока так сказали поделать.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Сканирование загружаемого контента."

Сообщение от Sarge (??) on 27-Апр-09, 23:18

После открытия файла любым процессом, в каталоге /proc/<PID процесса>/fd/ создаётся символическая ссылка на реальное расположение этого файла. Если файл после этого будет перемещён (в пределах одного и того же раздела диска), то эта ссылка станет указывать на новое место расположения. Если есть возможность, попробуйте открыть этот файл своим скриптом и как-то получить результат проверки от антивируса и удалить/переместить файл если нужно. Ну или просто дождаться перемещения и передать антивирусу на проверку уже новый путь.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]