我想知道是否有一个可以在装有 Apache2.2 的 Debian Web 服务器上使用的、具有最新漏洞的网站恶意软件扫描程序?
漏洞扫描程序很棒,但我还想确保未被发现的利用恶意软件感染我的文件的黑客攻击能够被检测到。
我已经使用这些工具来监控我的系统:
- Clam AV(防病毒)
- 帕罗斯 (漏洞扫描器)
- Wapiti(漏洞扫描器)
- Scrawlr(漏洞扫描器)
- W3af(漏洞扫描器)
- Mod_security
编辑: 我正在寻找类似的东西Sucuri 扫描仪刚刚安装在我的网络服务器上。
答案1
听起来你已经基本搞定了。你有没有运行文件扫描程序,通过运行 MD5 哈希来监控文件更改,比如 Tripwire?这是检测“未知”黑客的最佳方式,因为它会告诉你文件何时被更改,而你不一定知道它是如何发生的。
答案2
看起来您已经做好了一套很好的检查准备。
保护您的文件,使服务器无法写入它们,从而阻止许多攻击。将所有权更改为除 之外的用户 ID www-data,并将写入权限限制为所有者,将阻止大多数更改内容的尝试。将 www-data(Web 服务器)的写入权限限制在尽可能少的目录和文件中。
如果您的内容大部分是静态的,您可以考虑使用像 Tripwire 这样的校验和数据库。
如果您的内容在修订控制系统中,那么您可以使用只读 ID 来更新网站。使用您的 RCS 的 diff 实用程序将找到任何更改。
诸如此类的日志扫描器logcheck可以报告一些攻击。
答案3
听起来您正在寻找 Linux 恶意软件检测:http://www.rfxn.com/projects/linux-malware-detect/。只需确保将其配置为在检测到某些东西时向您发送电子邮件(默认情况下,它会设置每日 cron 来扫描新文件)