VBsupport перешел с домена .ORG на родной .RU
Ура!
Пожалуйста, обновите свои закладки - VBsupport.ru
Блок РКН снят, форум доступен на всей территории России, включая новые терртории, без VPN
На форуме введена премодерация ВСЕХ новых пользователей
Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
Если вы хотите приобрести какой то скрипт/продукт/хак из каталогов перечисленных ниже: Каталог модулей/хаков
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота. Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
Не нашел упоминания на vbsupport.ru и решил создать топик о полюбившемся в использовании инструменте по борьбе с шелами, троянами и прочими вирусами, которые могут оказаться на незащищенном сервере или VPS. Речь идет об антивирусном сканере Linux Malware Detect
В файле конфигурации можно настроить доставку отчетов на e-mail, карантин и т.п.
Тема сисек не раскрыта. Настройки конфига в студию, в том числе связку с clamav, запуск по крону, приоритет дисковых операций.
К слову, антивирус частично не актуален для vbulletin, у которого шаблоны хранятся в базе, а не в файлах. И поиск исключительно по сигнатурам делает его неэффективным. Вот эвристика как на AI-Bolit будет поинтересней.
Вывод - фтопку.
@WELLMOR
Продвинутый
Join Date: Jul 2012
Location: Ростов-на-Дону
Posts: 40
Версия vB: 4.2.х
Пол:
Reputation:
Опытный 32
Репутация в разделе: 31
0
Не подумал насчет стилей в БД, у меня то хозяйство большое там кроме булочной еще и другие цеха.
Конфиг простой по сути, Clamav используется как сканнер, бяки идут в карантин, отчеты идут на почту, запуск по крону.
P.S.: Потенциальные клиенты скорее Joomla и DLE.
WELLMOR добавил 29.09.2014 в 15:53
AI-Bolit конечно более гибкий в чем то но мне более импонирует maldet
Last edited by WELLMOR : 09-29-2014 at 03:53 PM.
Reason: Добавлено сообщение
Smalesh
В Черном списке
Join Date: Oct 2006
Награды в конкурсах:
Posts: 3,055
Версия vB: 3.8.7
Пол:
Reputation:
Мастер 3983
Репутация в разделе: 680
0
Quote:
Originally Posted by WELLMOR
бяки идут в карантин
Когда я с ним баловался, он из пару сотен бяк, вытянутых с живых ресурсов, увидел не больше трети. Может что изменилось сейчас, но на тот момент я его забраковал.
Quote:
Originally Posted by WELLMOR
Конфиг простой по сути, Clamav используется как сканнер, бяки идут в карантин, отчеты идут на почту, запуск по крону.
Я знаю, что конфиг прост. Но без него пост неполноценный)
@WELLMOR
Продвинутый
Join Date: Jul 2012
Location: Ростов-на-Дону
Posts: 40
Версия vB: 4.2.х
Пол:
Reputation:
Опытный 32
Репутация в разделе: 31
0
Согласен срабатывает не 100% сам в этом убеждался, но то что он рабочий это точно, у клиентов пачками находил шелов и троянов.
WELLMOR добавил 29.09.2014 в 16:11
Code:
#!/bin/bash
#
##
# Linux Malware Detect v1.4.1
# (C) 1999-2010, R-fx Networks <proj@r-fx.org>
# (C) 2010, Ryan MacDonald <ryan@r-fx.org>
# inotifywait (C) 2007, Rohan McGovern <rohan@mcgovern.id.au>
# This program may be freely redistributed under the terms of the GNU GPL v2
##
#
##
# [ EMAIL ALERTS ]
##
# The default email alert toggle
# [0 = disabled, 1 = enabled]
email_alert=1
# The subject line for email alerts
email_subj="maldet alert from **** (***.*.***.**)"
# The destination addresses for email alerts
# [ values are comma (,) spaced ]
email_addr="****@**.ru"
# Ignore e-mail alerts for reports in which all hits have been cleaned.
# This is ideal on very busy servers where cleaned hits can drown out
# other more actionable reports.
email_ignore_clean="0"
##
# [ QUARANTINE OPTIONS ]
##
# The default quarantine action for malware hits
# [0 = alert only, 1 = move to quarantine & alert]
quar_hits=1
# Try to clean string based malware injections
# [NOTE: quar_hits=1 required]
# [0 = disabled, 1 = clean]
quar_clean=1
# The default suspend action for users wih hits
# Cpanel suspend or set shell /bin/false on non-Cpanel
# [NOTE: quar_hits=1 required]
# [0 = disabled, 1 = suspend account]
quar_susp=0
# minimum userid that can be suspended
quar_susp_minuid=500
##
# [ SCAN OPTIONS ]
##
# The maximum directory depth that the scanner will search
# [ changing this may have an impact on scan performance ]
maxdepth=15
# The minimum in bytes for a file to be included in a scan
# [ changing this may have an impact on scan performance ]
minfilesize=32
# The maximum file size for a file to be included in scan
# search results; use man find for accepted values
# [ changing this may have an impact on scan performance ]
maxfilesize="1024k"
# The maximum byte depth that the scanner will search into
# a files contents; default rules expect a 1024*60 depth
# [ changing this may have an impact on scan performance ]
hexdepth=61440
# Use named pipe (FIFO) for passing file contents hex data
# instead of stdin default; improved performance and greater
# scanning depth
# [ 0 = disabled, 1 = enabled; enabled by default ]
hex_fifo_scan=1
# The maximum byte depth that the scanner will search into
# a files contents; default rules expect a 1024*60 depth
# [ changing this may have an impact on scan performance ]
hex_fifo_depth=524288
# Attempt to detect the presence of ClamAV clamscan binary
# and use as default scanner engine; up to four times faster
# scan performance and superior hex analysis. This option
# only uses ClamAV as the scanner engine, LMD signatures
# are still the basis for detecting threats.
# [ 0 = disabled, 1 = enabled; enabled by default ]
clamav_scan=1
# Allow non-root users to perform malware scans. This must be
# enabled when using mod_security2 upload scanning or if you
# want to allow users to perform scans. When enabled, this will
# populate the /usr/local/maldetect/pub/ path with user owned
# quarantine, session and temporary paths to faciliate scans.
# These paths are populated through cron every 10min with the
# /etc/cron.d/maldet_pub cronjob.
# [ 0 = disabled, 1 = enabled; disabled by default ]
public_scan=0
##
# [ STATISTICAL ANALYSIS ]
##
# The string length test is used to identify threats based on the
# length of the longest uninterrupted string within a file. This is
# useful as obfuscated code is often stored using encoding methods
# that produce very long strings without spaces (e.g: base64)
# [ string length in characters, default = 150000 ]
string_length_scan="0" # [ 0 = disabled, 1 = enabled ]
string_length="150000" # [ max string length ]
##
# [ MONITORING OPTIONS ]
##
# The base number of files that can be watched under a path
# [ maximum file watches = inotify_base_watches*users ]
inotify_base_watches=15360
# The sleep time in seconds between monitor runs to scan files
# that have been created/modified/moved
inotify_stime=30
# The minimum userid that will be added to path monitoring when
# the USERS option is specified
inotify_minuid=500
# The priority that monitoring process will run as
# [ -19 = high prio , 19 = low prio, default = 10 ]
inotify_nice=10
# This is the html/web root for users relative to homedir, when
# this option is set, users will only have the webdir monitored
# [ clear option to default monitor entire user homedir ]
inotify_webdir=public_html
Last edited by WELLMOR : 09-29-2014 at 04:11 PM.
Reason: Добавлено сообщение
Smalesh
В Черном списке
Join Date: Oct 2006
Награды в конкурсах:
Posts: 3,055
Версия vB: 3.8.7
Пол:
Reputation:
Мастер 3983
Репутация в разделе: 680
0
Quote:
Originally Posted by WELLMOR
quar_hits=1
Quote:
Originally Posted by WELLMOR
quar_clean=1
C чужими проектами я бы поосторожней, особенно второе, попытка лечить. Лучше голый алерт, но хозяин барин.
Quote:
Originally Posted by WELLMOR
maxfilesize="1024k"
Маловато будет (с)
Quote:
Originally Posted by WELLMOR
clamav_scan=1
Если clamav установлен, разумеется.
Quote:
Originally Posted by WELLMOR
inotify_nice=10
Можно спокойно пониже ставить, 3-4 достаточно.
@WELLMOR
Продвинутый
Join Date: Jul 2012
Location: Ростов-на-Дону
Posts: 40
Версия vB: 4.2.х
Пол:
Reputation:
Опытный 32
Репутация в разделе: 31
0
Quote:
Originally Posted by Smalesh
C чужими проектами я бы поосторожней, особенно второе, попытка лечить. Лучше голый алерт, но хозяин барин.
Это для себя
WELLMOR добавил 29.09.2014 в 17:04
P.S.: Smalesh спасибо, учту.
Last edited by WELLMOR : 09-29-2014 at 05:04 PM.
Reason: Добавлено сообщение
@netwind
Гуру
Join Date: Aug 2005
Location: Рiдна Олбанея
Posts: 3,844
Версия vB: 3.8.x
Reputation:
Гуру 1227
Репутация в разделе: 139
0
Quote:
Originally Posted by WELLMOR
AI-Bolit конечно более гибкий в чем то но мне более импонирует maldet
maldet в связке с clamav во много раз быстрее aibolit работает. Вариантов для некоторых случаев c очень большим объемом информации как бы и нет.
Smalesh
В Черном списке
Join Date: Oct 2006
Награды в конкурсах:
Posts: 3,055
Версия vB: 3.8.7
Пол:
Reputation:
Мастер 3983
Репутация в разделе: 680
0
Quote:
Originally Posted by netwind
maldet в связке с clamav во много раз быстрее aibolit работает.
А без clamav примерно так же. Но нас же интересует не скорость, а качество, не так ли?
@netwind
Гуру
Join Date: Aug 2005
Location: Рiдна Олбанея
Posts: 3,844
Версия vB: 3.8.x
Reputation:
Гуру 1227
Репутация в разделе: 139
0
Quote:
Originally Posted by Smalesh
А без clamav примерно так же. Но нас же интересует не скорость, а качество, не так ли?
Антивирус для веб-сервера
