forum.opennet.ru

Составление сообщения

Исходное сообщение

"чем просканировать сайты на предмет малвари?"
Отправлено sHaggY_caT, 18-Окт-09 13:32

>ситуация: Хостинг, много разных сайтов, юзера периодически-постоянно, гм, "сдают" пароли троянам, после
>чего на сайтах появляются разного рода паразитные ссылки, не предусмотренные скрипты,
>и т.д.
>хотелось бы иметь возможность все это хозяйство как-то сканировать.
>когда-то один раз мне такое поймал clamav, но это работает не со
>всеми технологиями такого заражения.
>Заранее спасибо.
Мне самой тоже была бы очень интересна информация от кого-нибудь по готовому решению.
Единственная схема, что приходит в голову, скриптик, который парсит виртуальные хосты апача, делает GET (игнорируя DNS, непосредственно с IP веб-сервера), а дальше html-код парсит связка squid + тот же ICAP, занося каждый факт срабатывания в лог. Можно запускать этот скрипт по крону.
Дальше, другой скрипт парсит лог, и обеспечивает попадание события в тот же Nagios.
Анализировать непосредственно файлы на диске сервера мне кажется нереальным, так как это сложнее, чем написать заново свою реализацию браузера.

Исходное сообщение
"чем просканировать сайты на предмет малвари?" Отправлено sHaggY_caT, 18-Окт-09 13:32
>ситуация: Хостинг, много разных сайтов, юзера периодически-постоянно, гм, "сдают" пароли троянам, после >чего на сайтах появляются разного рода паразитные ссылки, не предусмотренные скрипты, >и т.д. >хотелось бы иметь возможность все это хозяйство как-то сканировать. >когда-то один раз мне такое поймал clamav, но это работает не со >всеми технологиями такого заражения. >Заранее спасибо. Мне самой тоже была бы очень интересна информация от кого-нибудь по готовому решению. Единственная схема, что приходит в голову, скриптик, который парсит виртуальные хосты апача, делает GET (игнорируя DNS, непосредственно с IP веб-сервера), а дальше html-код парсит связка squid + тот же ICAP, занося каждый факт срабатывания в лог. Можно запускать этот скрипт по крону. Дальше, другой скрипт парсит лог, и обеспечивает попадание события в тот же Nagios. Анализировать непосредственно файлы на диске сервера мне кажется нереальным, так как это сложнее, чем написать заново свою реализацию браузера.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру