最近我的网站的index.php文件被一些恶意的 javascript 代码替换了。
我真的不知道它是如何被添加到页面中的。
今天当我尝试通过 FTP 下载文件时,我的本地防病毒软件发出了警告。我猜这意味着它不是从我的电脑上传的。
有没有办法在我的 VPS(运行 CentOS 5 和 Cpanel/WHM)上安装防病毒软件?
还有什么mod_security。这对未来有帮助吗?
答案1
有几个地方可以开始:
- 该文件的所有者是谁?
如果文件归 Apache 用户所有/可写,则您的实际代码可能存在问题。如果文件不归 Apache 所有/可写,我接下来会查看 FTP。
- 您检查过 FTP 日志吗?
查看日志,看看是否有人下载了您的文件,然后在几秒钟后重新上传(现在包含恶意内容)。这表明您的 FTP 详细信息已被泄露。这通常是通过猜测简单的密码或拦截它们来实现的,通常是从用于上传文件的受感染的本地 Windows PC 中实现的。
您描述的攻击方式很常见。这不是高级攻击,通常只是利用系统中的简单安全漏洞(不安全的密码、编写不当的代码等)。
mod_security用于检测 Apache 正在执行的恶意代码(例如 SQL 注入攻击)。它不会首先阻止代码上传。
回答你的问题,是的,Linux 上有可用的防病毒应用程序。搜索 ClamAV 作为起点。
答案2
使用 ModSecurity 的 @inspectFile 操作符和 modsec-clamscan.pl,您可以根据以下规则检查文件的内容:
SecRule FILES_TMPNAMES "@inspectFile /path/to/modsec-clamscan.pl" "phase:2,t:none,deny,log,msg:'Malicious code identified.'"
看一下这。