¿Hay un escáner de malware específico del servidor / sitio web? [cerrado]

Si hay malware en su servidor, alguien lo colocó allí, así que primero debe consultar la prevención. :) También, a menudo, se colocará en un lugar al que no se hace referencia desde ninguna otra parte del servidor, por lo que, simplemente, arañar su sitio no lo encontrará. Google lo encontrará si / cuando alguien informe la URL exacta, o si está vinculado desde otro sitio comprometido.

Recomiendo tomar otro enfoque: detección de intrusiones basada en host. Para detectar que alguien ha puesto algo en su servidor que no debería estar allí, ejecute periódicamente un script (con cron ) que compruebe que no ha cambiado nada en la raíz de su documento. Si ha habido cambios, envíese una alerta por correo electrónico.

Si no desea escribir su propio script, también hay un software que puede hacerlo por usted. El comprobador de integridad de archivos original se llama Tripwire, y existe una alternativa de código abierto llamada AIDE (en CentOS, ejecute yum install aide como root). Se requiere alguna configuración, pero puede hacer exactamente lo que necesita.

La solución a largo plazo para este tipo de cosas es hacer las cosas de una manera más segura. Porque ningún escáner va a encontrar todos los trucos escritos personalizados que se caen en sus sitios. Esto es lo que estoy pensando:

• Solo se desarrolla e implementa desde el control de versiones. Es muy común comenzar simplemente presionando el código en el servidor, incluso trabajando sobre la pantalla SSH +. Lo he hecho, estoy seguro de que muchos de nosotros lo hacemos ... Pero, además de todos los otros beneficios del control de versiones, queremos un código base que sabemos que provenía de nosotros (o al menos de nuestras máquinas de desarrollo) y no era el resultado de un dropper de código.

• Solo deje que su código escriba en los lugares donde necesita escribir. En primer lugar, esto significa ejecutar el código como otra persona, generalmente www-data . Luego, debe asegurarse de que solo permita que el usuario escriba en los lugares que necesita para escribir. Para la mayoría de la gente esto es lo que? Un archivo de base de datos (si es SQLite) y un directorio de medios si permite cargas. Permitir escrituras en grupo y otras (por ejemplo, lazy chmod -r 777 ) es una forma realmente mala. Encuentra algo de eso y arréglalo.

  El problema que esto causará es que Wordpress no podrá actualizar, descargar temas, etc., en forma automática. Dado el poco tiempo que se tarda en hacer esas cosas manualmente (o con un script), sé cuál Estoy más feliz con.

• No permita que el código se ejecute desde los directorios en los que puede escribir su código. Así es como funciona la inyección. Si tiene un script de carga (por ejemplo), asegúrese de que su servidor web no permita que se ejecute el código para su producto.

Póngalos juntos y tiene un sistema en el que está relativamente seguro de que el único código que se ejecuta en su sistema es el código que envía a través del control de versiones. Y si alguna vez no está seguro, solo tiene que verificar la copia en su VCS.

Esto obviamente está junto a otras barreras de seguridad basadas en el sistema y elementos disuasorios. Esta respuesta solo trata con los ataques de inyección de código.