Reihenweise existiert sowas? Nenne mir bitte was und ich werde umgehend "Neuheit" von der Website streichen. Mir ist bis dato eine solche Lösung nicht unter gekommen
PHPIDS, PHP-RIPS, PHP-Filewatcher um ein paar zu nennen. Dabei gehen PHP-IDS und PHP-RIPS primär über direkte Threat-Bewertung statt über statische Analyse geänderter Dateien.
Das Ganze gibt es dann hübsch integriert noch als Plugin für bspw Wordpress (iThemes Security), Joomla (Eyesite), ...
Und machst du selbst eine Veränderung an deiner Seite, Wordpress update, was auch immer, erstellst du direkt danach einen neuen Snapshot
Wordpress aktualisiert sich bei Security-Updates über Cronjob selber damit man nicht auf manuelle Updates angewiesen ist und damit Sicherheitslücken schnell geschlossen werden können.
Was nützen denn Erkennungsdatenbanken vor neuen Infizierungen? Ist die Realität nicht so, dass viele erst nach Tagen bemerken, dass die eigene Website gehackt wurde oder Schadscripte ihr Unwesen dort treiben?
Nicht lokale Erkennungsdatenbanken sondern von einem zentralen Anbieter gepflegt, ähnlich der extended Database für clamav oder CXS. Die eingesetzte Backdoor-Skripte ändern sich meist nur marginal so dass man diese leicht erkennen kann.
Wir warten lieber auf Post vom Hoster oder Webseitenbesucher, die uns informieren, dass sie auf Pornoseiten umgeleitet werden
Ich arbeite für einen Webhoster und kann aus Erfahrung sagen dass Kunden generell die Meldung von uns genau so schnell erhalten wie von eigenen Security-Systemen. Es sind mir sogar Fälle untergekommen wo populäre eigene Security-Systeme beim Angriff einfach gepatcht wurden (Ithemes Security).
Meistens erkennen Hoster-basierte Intrusion-/Firewall-Systeme böswillige Dateien sehr schnell und zuverlässig, nur in seltenen Fällen bleibt eine missbrauchte Seite lange unentdeckt.
Wenn du deinen Cronjob nur einmal die Woche darauf laufen lässt, erhältst du sicherlich erst die Meldung mit der Abuse Meldung deines Hosters. Sorry, aber das ist echt Quatsch...
Ehrlich gesagt, ich würde mir bei dem Arbeitstempo einen neuen Webhoster suchen
er Scanner braucht keine weiteren Rechte, du könntest den Benutzer davon ändern, oder extern überprüfen
Ein getrennter Benutzer hat in Webhosting-Umgebung nicht Zugriff auf deine Dateien, bei sauberer Webhosting-Trennung sieht er den eigentlichen Webspace-Nutzer dann nicht mal. FTP wäre tatsächlich eine (langsame) Lösung aber wird für viele Leute wegen der Traffic-Quotaberechnung leider wegfallen. Man könnte natürlich jedes Mal über FTP ein neues Check-Skript in einen zufälligen Ort hochladen das dann die Integrität des Hauptskriptes überprüft. Dies liesse sich aber auch via auto_prepend_file umgehen, ein perfekter Schutz ist es also nicht ohne weiteres.
Warum? Sowas verstehe ich immer nicht. Ich will hier niemanden betrügen oder das Geld aus der Tasche ziehen...
Vielleicht nicht im Forum der Supernerds. Aber ihr macht das Web im Handumdrehen schon sicherer.
Es geht hier nicht um Daumen-runter oder "schlechtmachen". Viele im Forum, ich inklusive, haben uns sehr lang und sehr intensiv mit dem Thema beschäftigt und auch eigene Lösungen dahingehend zu entwerfen versucht. Generell scheitert man als Entwickler aber immer an den gleichen inherenten Einschränkungen und der Betreiber glaubt seine Seite sei "unhackbar" weil er paar Skripte installiert hat. Direkt hinter den "ich kann kein Virus haben, ich hab Mac!" Kunden ist das eine der schwierigsten Zielgruppen bei der Aufräumung.
Negative Kritik bedeutet lediglich es steht dem Entwickler noch Arbeit an - leider ist IT-Security keineswegs ein rosiges und entspanntes Feld.
Als Anmerkung, mit Tripwire meint @marce nicht Tripwire Inc sondern das hier:
https://sourceforge.net/projects/tripwire/
Schlusswort
gepaart mit Techniken wie zum Beispiel inotify wird es dann auch noch fast Realtime...
Dem Kunden der inotify über sein ganzes Webspace spannt würde ich schneller einen Fusstritt geben als er schauen kann
