Phishing-Seiten erkennen

Huschi

Huschi

Moderator
Weil es gerade bei einem Kunden aufploppte und mich ebenfalls sehr interessiert:
Gibt es Software die Phishing-Seiten auf dem eigenen Server erkennt?

ClamAV kann es jedenfalls nicht. Es ist ja auch keine übliche Malware sondern einfach nur HTML-Seiten. Hier müsste eher mit Keywords und Heuristiken etc. gearbeitet werden.

Kennt jemand etwas?

huschi.
 
Hi,

wir haben auch mal mit clamav rum gespielt. Wenn du dir eigene Signaturen baust, kannst du damit auch die Phishingseiten sehr gut finden.

Ich hab ansonsten für unsere Server ein eigenes Skript, welches entsprechende Dateienamen und dann den Inhalt auf bestimmte Muster und schädlichen Code/Banken-URLs/Wörter prüft.

Ansonsten erkennt der Clamav leider in der Default-Einstellung mit den folgenden Einstellung nicht alle, aber immerhin ein paar:
-> DetectPUA yes
-> PhishingSignatures yes
-> PhishingScanURLs yes
-> ScanHTML yes
-> ScanArchive yes
-> Bytecode yes

Wenn ich blocklist soweit fertig hab, bau ich ein Signaturen-FindPhish-Skript-Tausch-Portal :-)
 
CXS hat ein paar Regeln fuer Pishing drin. Ich weiss allerdings nicht wieviele. (primaer sucht er ja nach Sicherheitsluecken, nicht Webseiteninhalten)
Die Engine gibt auch recht unbrauchbare Hinweise aus wie "RegEx Match" dann darf man noch rausfinden was er denn ueberhaupt bemaengeln will ;)

Nachteil: kostenpflichtig, funktioniert bei nicht-cPanel-on-RedHat nur ueber CLI
Vorteil: erkennt recht viel
 
Danke für die Einstellungen, aber die sind alle so gesetzt. (Wenn man von yes == true ausgeht.)
Der hinterlegte Phishing-Code wurde von Google erkannt (von denen kam die Warnung) aber eben nicht von ClamAV.

Hat schon mal jemand mod_security mit ClamAV verbunden? http://www.modsecurity.org/documentation/modsecurity-apache/1.9.3/modsecurity-manual.html#N10176
Mich würde interessieren ob dadurch ein Performance-Problem entsteht, oder es passabel für Produktiv-Server ist.

huschi.
 
You must log in or register to reply here.
Back
Top