Benachrichtige die "Kunden" doch lieber, dass sie ihre CMS aktuell halten sollen.
Hmm --> Trojaner der die FTP Daten auf dem Client ausliest und dann das Zeug direkt per FTP auf den Server lädt ?!
FUND: /kunden/xxx_xxx/webseiten/domain1/wp-content/plugins/wp-phpmyadmin/phpmyadmin/libraries/Config.class.php
Modul: phpmyadmin
AKTUELL: 3.5.2.2
FUND/ALT: 2.10.3
FUND: /kunden/xxx_xxx/webseiten/domain3/OLD/wp-includes/version.php
Modul: wordpress
AKTUELL: 3.4.1
FUND/ALT: 2.7
FUND: /kunden/xxx_xxx/webseiten/domain22/wp-content/plugins/wp-super-cache/wp-cache.php
Modul: wpsupercache
AKTUELL: 1.1
FUND/ALT: 1.0
von MichaelSchinzel » Fr 19. Aug 2011, 08:02
Guten Morgen,
da es ab und an zu Probleme mit unsicheren Kundenwebseiten kommt, die dann als SPAM oder Virenschleuder missbraucht werden, haben wir ein kleines Shell Script für unsere Kunden entwickelt, mit dem Sie den Webserver jede Nacht auf Viren prüfen können. Das Script versendet beim erfolgreichem finden eines Virus automatisch eine E-Mail an den Systemadministrator.
Zunächst müssen die entsprechenden Tools installiert werden
Code: Alles auswählen
apt-get install mailutils clamav
Mailutils benötigt man für das versenden von E-Mails über die Linux Shell, clamav ist das Anti-Virenprogramm, welches wir bevorzugt auf Linux Servern einsetzen. Sollte keine aktuelle Clamav Version zur Verfügung stehen, findet man unter www.clamav.net die Sources um die aktuelle Version zu installieren.
Anschließend erstellen wir das Verzeichnis, wo ClamAV die nächtlichen Scanlogs ablegt.
Code: Alles auswählen
mkdir /home/clamav/
Jetzt kommen wir zum Shellscript, welches wir im Verzeichnis root ablegen.
Code: Alles auswählen
nano /root/clam-scan.sh
Scriptinhalt:
Code: Alles auswählen
#!/bin/sh
### Allgemeine Angaben
mailbetreff="Root-Server 123456 Virenwarnung"
administratormail="info@ip-projects.de"
### Script
### Auslösen des Scans
rm -R /home/clamav/scanlog-www.log
clamscan /var/www/virtual/ --recursive=yes --log=/home/clamav/scanlog-www.log --infected --scan-html=yes --scan-pdf=yes --exclude=backups --exclude=logs --exclude=errors
rm -R /home/clamav/scanlog-mail.log
clamscan /var/mail/ --recursive=yes --log=/home/clamav/scanlog-mail.log --infected --scan-html=yes --scan-pdf=yes --exclude=new
### Versenden der E-Mail
if grep -rl 'Infected files: 0' /home/clamav/scanlog-www.log
then echo "kein Virus auf www gefunden"
else cat /home/clamav/scanlog-www.log | mail -s "$mailbetreff" $administratormail
fi
if grep -rl 'Infected files: 0' /home/clamav/scanlog-mail.log
then echo "kein Virus auf mail gefunden"
else cat /home/clamav/scanlog-mail.log | mail -s "$mailbetreff" $administratormail
fi
Unter dem Bereich "### Allgemeine Angaben" wird der Wert für den E-Mail Betreff und die E-Mail Adresse des Administrators definiert.
Damit jetzt unser kleines Script jede Nacht seine Arbeit aufnimmt, muss lediglich ein Cron Job angelegt werden:
Code: Alles auswählen
crontab -e
Code: Alles auswählen
## Virenscan
30 3 * * * /bin/bash /root/clam-scan.sh
In diesem Fall wird um 3:30 an jedem Tag der Scan ausgeführt.
Dieses Kleine Script hat mich ca. 2 Stunden Zeit gekostet und bringt einen massiven Vorteil gerade im Webserver Betrieb. Wir haben beim Shell Script die Backups bewusst ausgeklammert, ich denke, dass das prüfen von Backups den Scanprozess nur unnötig in die Länge zieht, da die Backups sowieso jede Nacht neu generiert werden.
Vorsicht – das Script informiert nur! Es werden keine Viren automatisch gelöscht oder verschoben. Nicht immer sind die Virenwarnungen zutreffend, da ClamAV auch Sicherheitslücken im Webseiten Code sucht, daher gilt es die Löschung lieber durch die Webseitenbetreuer vorzunehmen.
Beim Scannen der Mails werden auch trash Ordner mitgescanned, es kann also sein, dass ein Kunde bereits die Virenmail in einen „zu Löschen“ Ordner verschoben hat, hier kann die Löschung unbedenklich durchgeführt werden.
In diesem Sinne, ich hoffe, das hilft euch bei der Verwaltung euerer Webserver weiter.
Wirklich interessantes Tool. Auf Grund der Funktion(en) zum Cleanen aber rechtlich auf einer Ebene mit 0zapftis und Co.Ich nutze bei mir den Linux Malware Scanner ( http://www.rfxn.com/projects/linux-malware-detect/ )
es gibt ein script von ip-projects das aber den Admin nur ne mail schickt
We use essential cookies to make this site work, and optional cookies to enhance your experience.