Comment analyser des fichiers malveillants au fur et à mesure qu'ils sont téléchargés sur le site?
Mon site Web a été piraté et j'ai pu localiser les mauvais scripts que le pirate informatique avait saisis et les supprimer.
Je suis conscient qu'il existe des services disponibles pour analyser votre site contre les logiciels malveillants. Je me demandais s'il y avait un moyen d'analyser tous les fichiers au fur et à mesure qu'ils sont chargés via FTP? L'idéal serait de s'assurer qu'il n'y a pas de virus, de mauvais iframes ou de mauvais scripts lorsque des pirates informatiques tentent de télécharger des fichiers.
Je souscris à l’opinion selon laquelle il est trop tard pour numériser lors du téléchargement et qu’il faut empêcher qui que ce soit d’aller aussi loin.
Si vous avez une copie du site pré-hack, alors vous devriez vraiment lancer une comparaison de fichiers dessus et vous assurer que vous pouvez tenir compte de tout ce qui a changé à la fois dans les fichiers et dans la base de données. Ils peuvent avoir laissé une porte dérobée, même si vous avez supprimé toutes les modifications visibles.
Beaucoup de hacks n'utilisent pas ftp, et la plupart des problèmes que j'ai rencontrés consistent à ajouter des liens pour le référencement plutôt que des logiciels malveillants.
En tant que tel, votre tâche principale devrait consister à essayer d'identifier la manière dont ils ont pu entrer et à tirer profit de cette leçon pour renforcer la sécurité. Si vous utilisez un CMS (ou un logiciel à code source ouvert), assurez-vous qu'il (ainsi que toutes les extensions) est corrigé à la dernière version - les sites non corrigés et les extensions mal écrites sont très répandus. Mot de passe protégeant les administrateurs La zone via htaccess ainsi que la connexion par défaut peuvent également aider à prévenir d'autres attaques automatisées.
Vous pouvez également verrouiller votre ftp par ip si vous êtes la seule personne à y accéder et que vous êtes en mesure de le mettre à jour lorsque votre adresse IP change.
Ce que vous recherchez devrait être implémenté sur le serveur FTP. Tout service tiers analysant les fichiers, puis les téléchargeant sur FTP peut être ignoré en contactant directement le serveur FTP. Je ne connais aucun serveur FTP qui implémente des contrôles anti-malwares.
L'idée d'ajouter cette couche de protection au FTP me semble inutilement complexe. Il serait tout aussi efficace de choisir choisissez un mot de passe sécurisé long et de vous connecter à votre serveur uniquement via des protocoles sécurisés tels que sFTP .
FTP n'est pas la seule chose que vous devez verrouiller pour empêcher l'installation de logiciels malveillants sur votre site. J'ai également vu des logiciels malveillants installés via:
- injection SQL : les pirates utilisent les requêtes du site Web avec SQL intégré pour insérer du contenu n'importe où dans la base de données
- Elévation de privilèges : un autre utilisateur sur un hôte partagé peut accéder à vos fichiers ou les pirates informatiques peuvent en compromettre un autre et utiliser leur compte pour accéder à vos fichiers.
Je dirais que le dossier de téléchargement par défaut n'est pas exécutable. Installez n'importe quel antivirus sur votre serveur en fonction de votre système d'exploitation. Utilisez cron pour lancer l'analyse et utilisez un autre cron immédiatement après pour copier les fichiers du dossier non exécutable vers un dossier exécutable.
Cependant, la solution ultime serait d'empêcher les gens de télécharger des fichiers sur votre serveur avec un mot de passe protégeant tout accès (ssh, ftp, etc.), car il existe encore des vulnérabilités ouvertes, mentionnées par Ostermiller.