如何确保Cpanel/WHM不被恶意上传

Question

最近，我的站点的index.php文件被一些恶意的javascript代码替换了。

我真的不知道它是怎么被添加到页面上的。

今天，当我试图通过FTP下载文件时，我的本地防病毒软件给了我一个警告。我想这意味着它不是从我的电脑上上传的。

有没有办法在我的VPS (运行CentOS 5和Cpanel/WHM)上安装防病毒软件？

还有什么是mod_security。将来会有帮助吗？

Answer 1

有几个地方可以开始：

-该文件的所有者是谁？

如果文件是Apache用户拥有/可写的，则可能会在实际代码中出现妥协。如果文件不是Apache拥有/可写的，那么接下来我将查看FTP。

-你查过FTP日志了吗？

查看日志，看看是否有人下载了您的文件，然后几秒钟后重新上传(现在带有恶意内容)。这表示您的FTP详细信息已被泄露。这通常是通过猜测一个简单的密码，或者通过截取它们，通常是从一个受损的本地windows PC用来上传文件。

你所描述的攻击方式很常见。这不是高级攻击，通常只是利用系统中一个简单的安全漏洞(不安全的密码、编写不良的代码等)。

mod_security用于检测Apache正在执行的恶意代码(例如，SQL攻击)。首先，它不会阻止代码被上传。

在回答您的问题时，有一些反病毒应用程序可用于Linux。搜索ClamAV作为起点。

Answer 2

通过使用ModSecurity的@ check操作符和modsec-clcan.pl，您可以按照以下规则检查文件的内容：

SecRule FILES_TMPNAMES "@inspectFile /path/to/modsec-clamscan.pl" "phase:2,t:none,deny,log,msg:'Malicious code identified.'"

看看这。