Sziasztok!
Sok-sok keresgélés után megkérdezném a profikat: Ti milyen megoldást javasolnátok a webszerveren (leginkább PHP-n, de nem szűkíteném le csak erre), a szerverre bepottyanó fájlokra elvégzendő víruskeresésre?
Amit eddig próbáltam:
1) php-clamav, de ehhez a kódot is módosítani kell a megfelelő függvényhívásokhoz
2) mod_clamav, de ez picit réginek tűnik és nem is sikerült belőni
Mit ajánlotok?
Köszönettel:
Attila
- 7139 megtekintés
Hozzászólások
subscribe
- A hozzászóláshoz be kell jelentkezni
++;
- A hozzászóláshoz be kell jelentkezni
sub
- A hozzászóláshoz be kell jelentkezni
Egy kis kiegészítés:
Már annak is örülnék, ha a PHP-n keresztül feltöltött fájlokra rá lehetne tolni egy automatikus víruskeresést. Arra ugyan hiába várok, hogy az oldalak gazdái normális PHP kódokat írnak, vagy adott esetben pénzt és/vagy időt áldoznak egy már nem támogatott CMS frissítésére. Aztán meg hallgathatja az ember a sok nyafogást, hogy milyen gagyi a szerver konfig, ide mindenki betörhet...
Egység sugarú usernek / weboldal tulajdonosnak hiába is mondasz bármi okosat...
A szerver adott - mondjuk, örökölt -, az ügyfelek szintúgy, a PHP is adott, hát ebből kellene főzni valami elfogadhatót...
:-(
- A hozzászóláshoz be kell jelentkezni
De hát Linuxra nincs vírus!!! Használj Linuxot!!!
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
Egyéb - esetleg építő jellegű - javaslat is lenne?
:-)
ui: Debian Squeeze...
- A hozzászóláshoz be kell jelentkezni
en egy olyan av cuccot hasznalnek, ami elkapja a close() hivasokat, es elobb raengedi a file-ra a virusirtot. Ha pozitiv talalat van, akkor nem fog sikerulni a file lezarasa, azaz praktikusan nem jon letre a file. Az eset azt hiszem tud ilyet, de ilyen (ha jol emlekszem, nem biztos) a clamav dazuko nevu cucca is.
- A hozzászóláshoz be kell jelentkezni
Az első megoldás jól hangzik (főleg, ha választ kapok a hogyanra is), azt megnézem. A második - dazuko - meg itt tart:
"The Dazuko Project currently has no maintainer. If you are interested in taking on this responsibility, please post to the Mailing Lists..."
Háááát...
:-(
- A hozzászóláshoz be kell jelentkezni
Ez melyik (server celra hasznalt, mai) OS, amin a close() elott nem jon letre a file?
Szerintem a Debian nem ilyen. Pl. megnyitom irasra a file-t, es amikor felkerul a lenyeges tartalom, (esetleg flush utan) nyitvatartom amig akarom (es fut a process).
--
The programmers of tomorrow are the wizards of the future. You know, you're going to look like you have magic powers compared to everybody else. -Gabe Newell
- A hozzászóláshoz be kell jelentkezni
nincs olyan os amin ez igy lenne (vagyis az a par amirol en tudok). Ha nem zarod le, az egyreszt egy jokepu memoriaszivargasra ad okot, masodreszt ha nem flusholsz, a bufferben levo adatot is bukod
- A hozzászóláshoz be kell jelentkezni
Álmodtam egy újabb php.ini direktívát az alábbiakhoz:
file_uploads = On
upload_max_filesize = nM
.
.
.
file_upload_scanner = ...
.
.
.
Tudom, bilibe lóg a kezem. Csak hát ismerve a PHP összes hasfájását, olyan magától értetődő lenne...nekem...
:-(
- A hozzászóláshoz be kell jelentkezni
Esetleg megpróbálhatod, hogy a file-t feltöltés után Samba share-re másolod valami scripttel (php-ból is hívhatod, vagy a fam is jó erre).
A share-en meg tudsz VFS-sel vscan-clamav-ot definiálni és így kb azt kapod, amit szeretnél.
...vagy ha nem vagy paranoid, akkor simán fam-ből is me tudod csinálni a szkennelést...
- A hozzászóláshoz be kell jelentkezni
Oké, csak belegondoltam abba, hogy egy alapjában véve egyszerű (vagy annak tűnő) feladathoz ez igen nagy vargabetű lenne, hogy elérjem a célt. Csak ezért egy Sambát is hadra fogni, nem tűnik túlságosan erőforrás kímélő megoldásnak. Egy PHP extension vagy egy Apache modul olyan nagy elvárás lenne? Úgy látszik, igen...
- A hozzászóláshoz be kell jelentkezni
ClamFS? AVFS?
- A hozzászóláshoz be kell jelentkezni
Ezt egy kb. félszáz oldalt cipelő, de nem túl nagy nagy forgalmat lebonyolító webszerver alá is betennéd? Még nem foglalkoztam vele, de lehet, hogy jó lesz. Az erőforrás igénye lenne kérdéses.
- A hozzászóláshoz be kell jelentkezni
ne az egész alá tedd be, hanem upload tmp-nek.
- A hozzászóláshoz be kell jelentkezni
Ahhoz sokkal komolyabban el kellene kezdeni tesztelni. Én inkább a stabilitás miatt aggódnék.
Esetleg gondolkoztál már kereskedelmi megoldáson? Őszintén szólva, a ClamAV nem a létező leghatékonyabb víruskergető (bár van itt olyan vélemény hogy nem is azért szeretjük..), lehet jobban járnál.
- A hozzászóláshoz be kell jelentkezni
esetleg incrond vagy valami watch cucc ami megkapja az eventet, hogy az adott konyvtarban uj file jott letre es akkor arra meghivod a clamavat. Pontosabban egy scriptet ami futtatja a clamav-t es a scanneles eredmenye alapjan csinal valamit a fileval.
- A hozzászóláshoz be kell jelentkezni
modsecurity+clamav vagy ugyanez mashol
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
Ránézésre úgy látom, hogy pontosan ez kell nekem. Megcsinálom, aztán visszaírom az eredményt.
Köszönöm szépen!
:-)
- A hozzászóláshoz be kell jelentkezni
Szia!
modsecurity + clamav = jó megoldás
Feltettem, leteszteltem, tökéletesen működik.
Köszönöm szépen a tippet!
- A hozzászóláshoz be kell jelentkezni
Vajon php-cgi alatt hogy működik, ahol minden usernek külön tmp és UID van meghatározva?
Sok száz weblap esetén nem lehet felvenni egyesével mindenkihez.
- A hozzászóláshoz be kell jelentkezni
Találtam modsecurityhoz egy ilyesmit is:
http://www.rfxn.com/projects/linux-malware-detect/
Elvileg van egy ilyen opció benne hogy:
"The support for HTTP upload scanning is provided through mod_security2's inspectFile hook.
This feature allows for a validation script to be used in permitting or denying an upload."
(Időm nem volt még foglalkozni vele részletesen, így véleményt/tapasztalatot még ne várjatok.)
- A hozzászóláshoz be kell jelentkezni
Maga a program kipróbálva nem rossz:
maldet(17813): {scan} 5200/5200 files scanned: 12 hits 0 cleaned
Nem találta meg az összes malware-t, de amit talált, azok között nem volt fals pozitív.
- A hozzászóláshoz be kell jelentkezni
googlevel talaltam. konnyu volt beloni?
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
Nem volt nehéz, bár:
1) Jelenleg Munin grafikon nem készül az Apache jellemzőkről: Request Missing an Accept Header.
2) A Nagioson meg sárga színnel dob egy warningot: HTTP WARNING: HTTP/1.1 403 Forbidden - de legalább küld egy mailt, ha egyáltalán nem megy az indián.
Ezeket elsimítom, és minden oké lesz.
:-)
- A hozzászóláshoz be kell jelentkezni
Feliratkozás.
---
Lehet, hogy kívül szőke vagyok, de belül sötét, oké?!
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
.
- A hozzászóláshoz be kell jelentkezni
Kösz emberek, itt van egy csomó hasznos infó, csak nem teljesen reménytelen a sok php-s szemetet hostolni...
--
Gábriel Ákos
http://i-logic.hu
- A hozzászóláshoz be kell jelentkezni
subscr
- A hozzászóláshoz be kell jelentkezni