web-dev-qa-db-fra.com

Comment surveiller l'activité du serveur sortant pour détecter les logiciels malveillants?

J'ai un site Web qui a déjà été victime de malware. J'ai restauré le site à partir d'une ancienne sauvegarde et n'ai ménagé aucun effort pour verrouiller le serveur. Je n'ai aucun moyen d'être absolument certain que la sauvegarde que j'ai utilisée est propre et je crains que ce programme malveillant ne réapparaisse. J'aimerais utiliser un outil pour surveiller l'activité des ports sortants afin de détecter les signes d'activité de programmes malveillants. Malheureusement, j'utilise un serveur hôte qui ne me permet pas d'accéder à Shell. Je dois donc utiliser un outil pouvant être installé via FTP et utilisé via le navigateur. Mon site est Joomla :( donc une extension Joomla avec cette capacité fonctionnerait, mais je ne l'ai pas encore trouvée. Toutes suggestions. Merci beaucoup.

2
ted.strauss

Ce que vous demandez n’existera probablement pas, car un script PHP ne peut pas surveiller le trafic du serveur par lui-même. Le mieux que vous puissiez faire est de trouver un analyseur de journaux capable d'analyser les journaux de votre serveur. Mais si votre serveur est uniquement configuré pour enregistrer le trafic http standard, il ne vous servira probablement à rien.

Votre hébergeur Web exécute peut-être un logiciel qui enregistre et/ou surveille tout le trafic réseau du serveur, mais vous ne pourrez certainement pas accéder à ces journaux si vous utilisez un hébergement partagé.

Votre meilleur pari sont:

  • Trouvez un hôte qui analyse régulièrement les sites Web de ses utilisateurs à la recherche de logiciels malveillants et d'activités suspectes.
  • Recherchez une application ou un service utilisant FTP sur votre site, recherchez des modifications et vous les signalons (modifications de fichiers, de répertoires et/ou d'autorisations).
  • Utilisez quelque chose comme w3ap, nessus ou acunetix pour effectuer des tests de blackbox et de whitebox sur votre site.
  • Consultez les meilleures pratiques en matière de sécurité (par exemple, tenez Joomla à jour et abonnez-vous à la lettre d'information sur la sécurité Joomla).

Dans ces situations, il est toujours préférable de restaurer à partir d'une copie vierge connue. Par exemple, vous devez disposer d'une copie locale du site que vous téléchargez sur votre serveur de production pour la mise à jour. Tant que vous ne transmettez que des mises à jour à au serveur Web, il y a peu de chance que votre copie locale soit infectée.

Sinon, il est préférable de télécharger une nouvelle copie de la dernière version de Joomla, de réinstaller manuellement les extensions et modèles que vous utilisiez et de reconfigurer le site. Tous les autres fichiers non essentiels que vous avez écrits doivent être vérifiés manuellement pour vous assurer qu'ils ne sont pas infectés avant de les appliquer au nouveau site.

Sur une note séparée, pourquoi utilisez-vous un hébergeur qui vous donne uniquement un accès FTP? Pour moins de 10 $ par mois, vous pouvez obtenir un compte d'hébergement partagé à partir d'un hébergeur convenable comme DreamHost (qui dispose d'un excellent service client et numérise régulièrement les sites de leurs utilisateurs contre les malwares) avec un stockage/bande passante pratiquement illimité ainsi que des accès Shell et SFTP. Et ils ne vous facturent pas de bêtises comme l'enregistrement privé ou les sous-domaines, les comptes SFTP supplémentaires ou les bases de données MySQL.

1
Lèse majesté