Eu adicionei PHP Malware Signatures (do link ) ao ClamAV e detectei com êxito algumas dessas ameaças em um site WordPress.
Eu instalei o Linux Malware Detect e o ClamAV no meu servidor CentOS 7 e parece que está tudo ok, já que ele está no Arquivos de teste de malware EICAR e faz varreduras programadas sem problemas.
O problema surge quando eu carrego um arquivo PHP de malware real que eu mantive de um ataque anterior em um antigo servidor web compartilhado. Maldet não o vê como um arquivo malicioso.
Eu sei que todos os antivírus podem perder algumas ameaças, mas neste caso é um arquivo infectado muito óbvio, IMO.
//footer.php
<?php
function nBMj($NrG)
{
$NrG=gzinflate(base64_decode($NrG));
for($i=0;$i<strlen($NrG);$i++)
{
$NrG[$i] = chr(ord($NrG[$i])-1);
}
return $NrG;
}
eval(nBMj("Some_base64_encoded_text"));
?>
Este é um hack Wordpress muito comum, e nem sequer tem as funções suspeitas ofuscadas.
De página do desenvolvedor da Maldet :
Features
- statistical analysis component for detection of obfuscated threats (e.g: base64)
- cleaner rules to remove base64 and gzinflate(base64 injected malware
Este é um servidor web com 10 a 20 sites rodando CMS como drupal e wordpress, então a grande maioria dos ataques será com esse tipo de infecção.
Então, a pergunta: estou perdendo alguma coisa? Existe alguma configuração especial para scripts base64 / gzinflate ou é um comportamento normal? Talvez o Maldet w / ClamAv não seja a melhor ferramenta para um servidor web?
Eu adicionei PHP Malware Signatures (do link ) ao ClamAV e detectei com êxito algumas dessas ameaças em um site WordPress.
I'm missing something?
Basicamente sim. O ponto em que ferramentas como maldet e clamav não estão lá para fornecer 100% de taxa de detecção e proteção contra malware. Mesmo as soluções antivírus de nível corporativo provavelmente falharão - mas, da minha experiência (algumas delas) são muito melhores do que essas duas soluções.
maldet e clamav estão aqui para se livrar de todo o malware - e, acreditem, isso é muito deles. A segunda parte da sua pergunta é sobre a falta de algum malware muito conhecido. Infelizmente isso acontece. Isso é assunto de discussão.
Para mim, é chocante que esses dois não detectem b374k Shell . Mas, novamente, isso acontece e prova que, mesmo que a taxa de detecção fosse de 99,9%, não se deve planejar a estratégia de segurança confiando na qualidade do verificador antimalware.
Só para adicionar mais 2 ¢ nesta resposta: o arquivo com o código PHP fornecido será certamente marcado como suspeito com Shell Detector . Mas prepare-se para possivelmente muitos falsos positivos. Você terá que verificar e colocar na lista de permissões.