저는 모든 것이 제대로 작동하는지 확인하기 위해 WordPress 사이트에 대해 매일 악성 코드 검사를 실행하도록 지정받았습니다. 그래서 MalDetect 1.5와 ClamAV를 설치했습니다. 모든 것이 제대로 작동하는지 알고 싶었기 때문에 다음에서 복사한 base64 숨겨진 PHP 코드가 포함된 샘플 악성코드 파일을 업로드했습니다.https://aw-snap.info/articles/php-examples.php.
그러나 이러한 파일을 검사하면 악성 탐지에 "파일 4, 악성 코드 히트 0, 치료 히트 0"이라고 표시됩니다.
즉, MalDetect가 실제로 기존 악성 코드를 탐지하는지 확신할 수 없습니다. 여기에 경험이 있고 나를 도와주고 싶은 사람이 있습니까?
건배
답변1
해커는암호화이러한 해킹 도구/셸 스크립트는 FUD(완전히 감지되지 않거나 완전히 감지되지 않음)로 만듭니다. 당신이 할 수 있는 최선은제출하다이러한 파일을 ClamAV 및 MalDetect에 추가하면 데이터베이스에 추가하고 다음에 성공적으로 검색할 수 있습니다.
편집하다
매일 이러한 스캔을 수행하는 대신 ClamAV에 대해 cron을 실행하는 것이 좋습니다.
crontab -e #Open cron file
0 4 * * * /usr/local/cpanel/3rdparty/bin/clamscan -ri --remove /home 2>&1 | mail -s "ClamAV Scan Log" [email protected]
매일 오전 4시에 검사를 실행하고, 감염된 파일을 삭제하고, 로그를 이메일로 보냅니다. /home웹사이트 경로를 변경 하거나 모든 콘텐츠를 검사하세요 /
. 또한 악성 탐지 모니터링을 활성화하는 것이 좋습니다.
답변2
A/V 공급업체가 사이트에 플래그를 지정하는 경향이 있으므로 "악성 프로그램" 샘플을 게시하는 것은 문제가 될 수 있습니다. 이 문제를 해결하는 한 가지 방법은 코드를 이미지로 게시하는 것이고, 또 다른 방법은 길이가 0인 공백을 추가하여 코드를 "중단"하는 것입니다. 주요 위치에서. 이 페이지의 소스 코드를 보면 예제는 다음과 같습니다.
eval(base64_decode("ZXJyb3JfcmVwb3J0aW5nKDAp.....
테스트를 위해 이러한 예제를 사용하려면 해당 예제를 정리해야 합니다.
이러한 예제는 브라우저에서 실행되지 않기 때문에 A/V 공급업체가 이러한 예제에 플래그를 지정하는 이유는 확실하지 않지만 이는 또 다른 이야기입니다.