如何保护从恶意上传的Cpanel / WHM

最近我的网站的index.php文件被replace为一些恶意的JavaScript代码。

我真的不知道它是如何被添加到页面。

今天当我试图通过FTP下载文件时,我的本地反病毒软件给了我一个警告。 我想这意味着它不是从我的电脑上传。

有没有办法在我的VPS(运行CentOS 5和Cpanel / WHM)上安装防病毒软件?

什么是mod_security 。 今后会有帮助吗?

有几个地方可以开始:

– 谁是相关文件的所有者?

如果这个文件是Apache用户拥有/写入的,这个妥协可能是在你的实际代码中。 如果这个文件没有被Apache拥有/写入,我接下来要看FTP。

– 你检查过FTP日志吗?

查看日志,看看是否有人下载了你的文件,然后几秒钟后重新上传(现在有恶意内容)。 这表明您的FTP详细信息已被泄漏。 这通常是通过猜测一个简单的密码,或通过拦截他们,通常从一个妥协的本地Windows PC上传文件。

你描述的攻击风格是相当普遍的。 这不是一个高级的攻击,通常只是利用你的系统中的一个简单的安全漏洞(不安全的密码,写得不好的代码等)。

mod_security用于检测由Apache执行的恶意代码(例如SQL注入攻击)。 它不会停止正在上传的代码。

为了回答你的问题,是的,有可用于Linux的防病毒应用程序。 有一个searchClamAV作为一个起点。

使用ModSecurity的@inspectFile操作符和modsec-clamscan.pl,可以使用以下规则检查文件的内容:

SecRule FILES_TMPNAMES "@inspectFile /path/to/modsec-clamscan.pl" "phase:2,t:none,deny,log,msg:'Malicious code identified.'"

看看这个 。