it-swarm.com.de

Wie kann ich die Aktivität ausgehender Server überwachen, um Malware zu erkennen?

Ich habe eine Website, die zuvor Opfer von Malware wurde. Ich habe die Site von einem alten Backup wiederhergestellt und mich bemüht, den Server zu sperren. Ich kann nicht absolut sicher sein, dass das von mir verwendete Backup sauber ist, und ich mache mir Sorgen, dass diese Malware erneut auftritt. Ich möchte ein Tool zum Überwachen der Aktivität ausgehender Ports verwenden, um Anzeichen von Malware-Aktivität zu erkennen. Leider verwende ich einen Server-Host, der mir keinen Shell-Zugriff gewährt. Daher muss ich ein Tool verwenden, das über FTP installiert und über den Browser verwendet werden kann. Meine Site ist Joomla :(, also würde eine Joomla-Erweiterung mit dieser Funktion funktionieren, aber das habe ich noch nicht gefunden. Irgendwelche Vorschläge. Vielen Dank

2
ted.strauss

Es ist unwahrscheinlich, dass das, wonach Sie fragen, vorhanden ist, da ein PHP - Skript den Serververkehr nicht selbst überwachen kann. Das Beste, was Sie tun können, ist, einen Protokollanalysator zu finden, der Ihre Serverprotokolle analysieren kann. Wenn Ihr Server jedoch nur so konfiguriert ist, dass er Standard-HTTP-Datenverkehr protokolliert, ist dies wahrscheinlich nicht gut für Sie.

Auf Ihrem Webhost wird möglicherweise Software ausgeführt, die den gesamten Netzwerkverkehr des Servers protokolliert und/oder überwacht. Wenn Sie Shared Hosting verwenden, erhalten Sie jedoch auf keinen Fall Zugriff auf diese Protokolle.

Ihre beste Wette sind:

  • Finden Sie einen Host, der die Websites seiner Benutzer regelmäßig auf Malware und verdächtige Aktivitäten überprüft.
  • Suchen Sie nach einer App oder einem Dienst, die bzw. der per FTP auf Ihre Site übertragen wird, und suchen Sie nach Änderungen und melden Sie diese (Datei-, Verzeichnis- und/oder Berechtigungsänderungen).
  • Verwenden Sie etwas wie w3ap, nessus oder acunetix, um Blackbox- und Whitebox-Tests auf Ihrer Site durchzuführen.
  • Informieren Sie sich über bewährte Sicherheitsmethoden (z. B. halten Sie Joomla auf dem neuesten Stand und abonnieren Sie den Joomla-Sicherheitsnewsletter).

In diesen Situationen ist es immer am besten, von einer bekannten sauberen Kopie wiederherzustellen. Beispielsweise sollte eine lokale Kopie der Site vorhanden sein, die Sie zum Aktualisieren auf Ihren Produktionsserver hochladen. Solange Sie nur Push-Updates an des Webservers senden, besteht nur eine geringe Wahrscheinlichkeit, dass Ihre lokale Kopie infiziert wird.

Andernfalls ist es am besten, eine neue Kopie der neuesten Version von Joomla herunterzuladen und die von Ihnen verwendeten Erweiterungen und Vorlagen manuell neu zu installieren und die Site neu zu konfigurieren. Bei allen anderen Nicht-Core-Dateien, die Sie geschrieben haben, sollten Sie diese manuell überprüfen, um sicherzustellen, dass sie nicht infiziert sind, bevor Sie sie auf die neue Site anwenden.

Wie kommt es, dass Sie einen Webhost verwenden, der Ihnen nur einen FTP-Zugang bietet? Für weniger als 10 US-Dollar pro Monat können Sie von einem anständigen Webhost wie DreamHost (der einen hervorragenden Kundenservice bietet und regelmäßig scannt) ein Shared-Hosting-Konto erhalten Websites ihrer Benutzer für Malware) mit praktisch unbegrenztem Speicherplatz/Bandbreite sowie Shell- und SFTP-Zugriff und ohne Gebühren für dumme Dinge wie private Registrierung oder Subdomains oder zusätzliche SFTP-Konten oder MySQL-Datenbanken.

1
Lèse majesté