MalDetect + clamAV 无法识别 Base64 隐藏的恶意软件

MalDetect + clamAV 无法识别 Base64 隐藏的恶意软件

我被指派每天对我们的 WordPress 网站进行恶意软件扫描,以确保一切正常。因此我安装了 Maldetect 1.5 和 ClamAV。因为我想知道一切是否正常工作,所以我上传了一个示例恶意软件文件,其中包含复制自的 base64 隐藏 PHP 代码https://aw-snap.info/articles/php-examples.php

但是,如果我扫描这些文件,恶意检测会说“文件 4,恶意软件命中 0,已清理命中 0”。

这意味着我无法确定 MalDetect 是否确实检测到现有的恶意软件。这里有人有这方面的经验并想帮助我吗?

干杯

答案1

黑客是加密这些黑客工具/shell 脚本,以使其成为 FUD(完全未检测到或完全不可检测)。你能做的最好的就是提交将这些文件添加到 ClamAV 和 Maldetect,以便他们可以将其添加到数据库中并在下次成功检测到它们。

编辑

我强烈建议您为 ClamAV 运行 cron,而不是每天进行这些扫描

crontab -e #Open cron file

0 4 * * * /usr/local/cpanel/3rdparty/bin/clamscan -ri --remove /home 2>&1 | mail -s "ClamAV Scan Log" [email protected]

这将在每天凌晨 4 点运行扫描,删除受感染的文件并通过电子邮件发送日志给您。更改/home您的网站路径或扫描所有内容/
此外,我建议您启用恶意检测监控

答案2

发布“恶意软件”示例可能会产生问题,因为 A/V 供应商倾向于标记您的网站。解决这个问题的一种方法是将代码作为图像发布,另一种方法是通过添加零长度空格来“破坏”代码。在关键地点。如果您查看该页面的源代码,示例将是

ev​al(base​64_de​code("ZXJyb3JfcmVwb3J0aW5nKDAp.....

如果您想使用这些示例中的任何一个进行测试,则必须清理它们。

不知道为什么 A/V 供应商会标记这些示例,因为它们不会在浏览器中执行,但那是另一个故事了。

相关内容