web-dev-qa-db-ja.com

マルウェアを検出するために送信サーバーのアクティビティを監視する方法は?

以前にマルウェアの被害を受けたWebサイトがあります。古いバックアップからサイトを復元し、サーバーをロックダウンするためにあらゆる努力をしました。使用したバックアップがクリーンであることを絶対に確信する方法はありません。このマルウェアが再出現するのではないかと心配しています。ツールを使用して発信ポートのアクティビティを監視し、マルウェアのアクティビティの兆候を検出したいと思います。残念ながら、シェルアクセスを許可しないサーバーホストを使用しているため、FTP経由でインストールし、ブラウザー経由で使用できるツールを使用する必要があります。私のサイトはJoomla :(ですので、この機能を備えたJoomla拡張機能は動作しますが、まだ見つけていません。

2
ted.strauss

PHPスクリプトはそれ自体ではサーバートラフィックを監視できないため、求めているものは存在しない可能性があります。最善の方法は、サーバーログを分析できるログアナライザーを見つけることです。ただし、サーバーが標準のhttpトラフィックのみをログに記録するように構成されている場合は、おそらく役に立ちません。

ウェブホストは、サーバーのすべてのネットワークトラフィックを記録または監視するソフトウェアを実行している可能性がありますが、共有ホスティングを使用している場合、これらのログにアクセスすることはできません。

あなたの最善の策は次のとおりです。

  • ユーザーのWebサイトを定期的にスキャンしてマルウェアおよび疑わしいアクティビティを検出するホストを見つけます。
  • サイトにFTPで転送するアプリまたはサービスを見つけて、変更をスキャンし、それらを報告します(ファイル、ディレクトリ、および/または権限の変更)。
  • W3ap、nessus、またはacunetixなどを使用して、サイトでブラックボックスおよびホワイトボックスのテストを行います。
  • セキュリティのベストプラクティスを読んでください(例:Joomlaを最新の状態に保ち、Joomlaセキュリティニュースレターを購読してください)。

これらの状況では、既知のクリーンコピーから復元するのが常に最善です。たとえば、更新するために運用サーバーにアップロードするサイトのローカルコピーが必要です。更新のみをプッシュする限りto Webサーバーは、ローカルコピーが感染する可能性はほとんどありません。

それ以外の場合は、Joomlaの最新バージョンの新しいコピーをダウンロードし、使用していた拡張機能とテンプレートを手動で再インストールし、サイトを再構成するのが最善です。書いた他の非コアファイルは、新しいサイトに適用する前に、それらが感染していないことを手動でチェックする必要があります。

別の注意として、なぜFTPアクセスのみを提供するWebホストを使用するのですか?月10ドル未満で、DreamHost(優れたカスタマーサービスと定期的なスキャンを行う)のような適切なWebホストから共有ホスティングアカウントを取得できます実質的に無制限のストレージ/帯域幅とシェルおよびSFTPアクセスを備えたユーザーのサイト)。また、プライベート登録やサブドメイン、追加のSFTPアカウント、MySQLデータベースなどの愚かなものに対しては課金しません。

1
Lèse majesté