Jump to content
Sign in to follow this  
Mix

antivirus webserver

Recommended Posts

Salve a tutti!

 

Sto reinstallando il web server per un sito internet. Ultimamente il server su cui era installato il sito non so come erano riusciti a sfondarmelo e ad entrarmi, avviandomi in qualche script che mandava pacchetti verso un server esterno. Sono stato bloccato da ovh che mi hostava e non ho avuto modo di indagare bene su cosa era successo.

Sto quindi reinstallando il server da un'altra parte, e aumentando le protezioni.

Ho configurato con regole più strette iptables e installato lo stretto indispensabile ricontrollandolo.

Mi sono fatto pure un giro in tutto lo script php (è un forum) cercando possibili bachi e non avendoli trovati ho fatto in modo di bloccare quasi tutti gli upload e di monitorare tramite delle regole regxp i dati in ingresso e se considerati malevoli fermarli.

 

Oltre a questo volevo però, se fosse possibile, installare un antivirus o qualcosa del genere (un antirootkit) che mi faccia la scansione dei file su server (non sono tanti...) ogni tot, alla ricerca di script malevoli (php o shell) caricati o in esecuzione.

Sapete consigliarmi qualcosa? In che direzione posso avviarmi?

Ho dato un occhiata veloce a clamav, ma a parte la scansione manuale non ci ho capito molto... fa quello che ho bisogno? individua shell php o script shell malevoli? Bisogna creare uno script con cron per farlo eseguire a certi periodi?

 

PS: se qualcuno vuole aiutarmi a risolvere il mistero di dove mi sono entrati, posso dare più informazioni...

 

Grazie a tutti

Mix ^^

Share this post


Link to post
Share on other sites

Grazie a tutti per le risposte! (sempre i migliori qui su questo forum :asd:)

 

Al momento sto provando ossec perché da quel che ho capito leggendomi la documentazione fa praticamente quello che voglio:

-analisi dei log

-analisi anti rootkit

-blocco automatico tramite firewall delle connessioni di troppo rilevate nei log

 

l'unica cosa che non ho capito bene è se l'antirootkit mi avverte solo o fa anche qualcosa...

nel caso è configurabile per fare qualcosa? se no mi consigliate (sempre che non faccia conflitto in qualche modo) di far girare anche RKHunter?

 

Grazie

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×