ситуация: Хостинг, много разных сайтов, юзера периодически-постоянно, гм, "сдают" пароли троянам, после чего на сайтах появляются разного рода паразитные ссылки, не предусмотренные скрипты, и т.д.
хотелось бы иметь возможность все это хозяйство как-то сканировать.
когда-то один раз мне такое поймал clamav, но это работает не со всеми технологиями такого заражения.
Заранее спасибо.

• чем просканировать сайты на предмет малвари?,sHaggY_caT, 13:32 , 18-Окт-09
  • чем просканировать сайты на предмет малвари?,greg, 14:26 , 18-Окт-09
    • чем просканировать сайты на предмет малвари?,sHaggY_caT, 15:57 , 18-Окт-09
• чем просканировать сайты на предмет малвари?,Square, 16:26 , 18-Окт-09
• чем просканировать сайты на предмет малвари?,shadow_alone, 18:43 , 18-Окт-09
  • чем просканировать сайты на предмет малвари?,Square, 18:59 , 18-Окт-09
    • чем просканировать сайты на предмет малвари?,shadow_alone, 19:19 , 18-Окт-09
  • чем просканировать сайты на предмет малвари?,sHaggY_caT, 19:56 , 18-Окт-09
• чем просканировать сайты на предмет малвари?,angra, 21:25 , 18-Окт-09
  • чем просканировать сайты на предмет малвари?,greg, 22:55 , 18-Окт-09
  • чем просканировать сайты на предмет малвари?,sHaggY_caT, 22:57 , 18-Окт-09

>ситуация: Хостинг, много разных сайтов, юзера периодически-постоянно, гм, "сдают" пароли троянам, после
>чего на сайтах появляются разного рода паразитные ссылки, не предусмотренные скрипты,
>и т.д.
>хотелось бы иметь возможность все это хозяйство как-то сканировать.
>когда-то один раз мне такое поймал clamav, но это работает не со
>всеми технологиями такого заражения.
>Заранее спасибо.

Мне самой тоже была бы очень интересна информация от кого-нибудь по готовому решению.

Единственная схема, что приходит в голову, скриптик, который парсит виртуальные хосты апача, делает GET (игнорируя DNS, непосредственно с IP веб-сервера), а дальше html-код парсит связка squid + тот же ICAP, занося каждый факт срабатывания в лог. Можно запускать этот скрипт по крону.
Дальше, другой скрипт парсит лог, и обеспечивает попадание события в тот же Nagios.

Анализировать непосредственно файлы на диске сервера мне кажется нереальным, так как это сложнее, чем написать заново свою реализацию браузера.

тут тоже есть проблема, как быть, если малварь сидит не в открытой области, а, допустим, в админзоне? самая частая у нас ситуация.

>тут тоже есть проблема, как быть, если малварь сидит не в открытой
>области, а, допустим, в админзоне? самая частая у нас ситуация.

Если найдете решение, пожалуйста, отпишитесь...

>ситуация: Хостинг, много разных сайтов, юзера периодически-постоянно, гм, "сдают" пароли троянам, после
>чего на сайтах появляются разного рода паразитные ссылки, не предусмотренные скрипты,
>и т.д.

А как вы отличите ссылку предусмотренную от непредусмотренной? Собственно если есть список урлов, или конструкций- то есть поиск по сигнатуре- то натравить на структуру каталогов антивирь...

а вы никогда не думали нормально мониторить сервак?
а то советов тут понадавали....
включите logwatch , настройте на свое мыло и внимательно читайте логи.
видете несколько коннектов с разных IP по одному логину, меняйте пароль.
по поводу зачистки, ищите на предмет iframe

>а то советов тут понадавали....
>видете несколько коннектов с разных IP по одному логину, меняйте пароль.

динамический адрес?

при чем тут динамический или нет?
вообще с головой не в порядке?

>а вы никогда не думали нормально мониторить сервак?
>а то советов тут понадавали....
>включите logwatch , настройте на свое мыло и внимательно читайте логи.
>видете несколько коннектов с разных IP по одному логину, меняйте пароль.

Мониторить не помогает, чернушники люди изворотливые... Они будут ломать с машины web-мастера, когда увидят, что все, что они делают, вычищают. У нас они и не с такими хитростями научились бороться (у нас типовые скелеты директорий в document root, мы запрещали заливку по ftp в некоторые директории, они все равно придумали, как это обойти)

>по поводу зачистки, ищите на предмет iframe

Уже давно не актуально, используют js-генерацию HTML-кода на лету, на диске будет лежать абракадабра(или даже на взгляд человека нечто пристойное), под которую не подберешь регэксп.

Единственное решение проблемы, которое мне известно, это глобальный запрет ftp, ботнетоводам лень заморачиваться (на этом этапе) с перехватом нажатий клавиш на затрояненных машинах web-мастеров, по этому scp/sftp сейчас решает проблему.

То, что я писала, есть попытка глобального решения проблемы, но, действительно, из-за запароленности некоторых разделов это тоже не решение.

Сдается вы пытаетесь лечить симптомы, а не болезнь. С технической стороны нужно обеспечить полную изоляцию контента пользователей друг от друга. С административной указать в договоре, что пользователь сам ответственен за все изменения контента. Ну и желательно предоставлять пользователям возможности бэкапа.

все изолировано, в договорах все прописано... и все-же....

>Сдается вы пытаетесь лечить симптомы, а не болезнь. С технической стороны нужно
>обеспечить полную изоляцию контента пользователей друг от друга. С административной указать
>в договоре, что пользователь сам ответственен за все изменения контента. Ну
>и желательно предоставлять пользователям возможности бэкапа.

open_base_dir + отключение system (или вообще каждый пользователь в контейнере) используют все, как и договор, где "пользователь сам во всем виноват", но спрос рождает предложение... Если его удастся родить... :)