マルウェアを検出するための発信サーバーアクティビティを監視する方法

以前はマルウェアの犠牲者だったウェブサイトがあります。私は古いバックアップからサイトを復元し、サーバーをロックダウンするためにあらゆる努力をしました。私は使用したバックアップがきれいであることを絶対に確信する方法がなく、このマルウェアが再び出現するかもしれないと心配しています。私は、マルウェア活動の兆候を検出するために、発信ポートアクティビティを監視するためのツールを使用したいと考えています。残念ながら私はシェルアクセスを与えないサーバーホストを使用しているので、FTP経由でインストールしてブラウザ経由で使用できるツールを使用する必要があります。私のサイトはJoomlaです:(この機能を備えたJoomlaの拡張機能は動作しますが、まだ見つかりませんでした。

2

1 答え

あなたが求めているのは、PHPスクリプトがサーバのトラフィックを単独で監視することができないからです。あなたができることは、あなたのサーバーログを分析できるログアナライザーを見つけることです。しかし、あなたのサーバーが標準のhttpトラフィックをログに記録するように設定されていれば、それはおそらくあなたには役に立たないでしょう。

あなたのウェブホストは、サーバーのネットワークトラフィックをすべて記録したり監視したりするソフトウェアを実行している可能性がありますが、共有ホスティングを使用している場合は、これらのログにはアクセスできません。

あなたの最善の賭けは:

  • ユーザーのウェブサイトでマルウェアや疑わしい活動を定期的にスキャンするホストを探します。
  • サイトにFTPするアプリやサービスを探し、変更をスキャンしてあなたに報告します(ファイル、ディレクトリ、権限の変更など)。
  • w3ap、nessus、またはacunetixのようなものを使用して、サイト上でブラックボックスとホワイトボックスのテストを行うことができます。
  • セキュリティのベストプラクティスを読んでください(たとえば、Joomlaを最新の状態に保ち、Joomlaのセキュリティニュースレターを購読するなど)。

このような状況では、既知のクリーンコピーから復元することが常にベストです。たとえば、更新するためにプロダクションサーバーにアップロードするサイトのローカルコピーを用意する必要があります。ウェブサーバの更新を するだけでは、ローカルコピーが感染する可能性はほとんどありません。

それ以外の場合は、Joomlaの最新バージョンの新しいコピーをダウンロードし、使用していた拡張機能やテンプレートを手動で再インストールしてサイトを再設定することをお勧めします。あなたが書いた他の非コアファイルは、感染していないことを確認するために手動でチェックしてから、新しいサイトに適用してください。

別のメモで、なぜFTPアクセスのみを許可するウェブホストを使用していますか? $ 10以下であればDreamHost(優れたカスタマーサービスを提供し、マルウェアを定期的にユーザのサイトをスキャンする)のようなまともなウェブホストから共有ホスティングアカウントを取得して、シェルとSFTPアクセスだけでなくストレージ/バンド幅を無制限にすることができます。プライベート登録やサブドメイン、特別なSFTPアカウントやMySQLデータベースなどの愚かなものについては、料金を請求しません。

1
追加された