nicht angemeldet
umfassender Virenscanner
Hallo,
mal eine Frage an das Forum. Von einem übervorsichtgen Mitbürger bin ich gefragt worden ob man auf dem Server einen Virenscanner installieren könnte der sämtliche Vorgänge überwacht. Als Servertyp arbeitet ein normaler nichtgrafischer LinuxServer mit den üblichen Diensten und Anwendungen, in diesem Fall interessiert eher apache+php. Im speziellem geht es ihm um das Scannen von Dateien die per Formularupload auf den Server gelangen bzw. um Dateien die per include(http://... eingebunden werden können. FTP/Mail lassen wir mal außen vor. Mir ist bewußt das man dies deaktivieren kann bzw. suhosin da viel regelt. Die Frage nach einem allg. Scanner ist trotzdem interessant. Davon, dass dieses Vorhaben sicher Last erzeugt und unpraktikabel ist, sehen wir einfach mal ab. Ist da jemandem eine Möglichket bekannt sowas zu überwachen und im Falle das Falles einen derartigen Prozess zu beenden.
Herzlichen Dank an das Forum.
Oleg
-
Moin!
Ist da jemandem eine Möglichket bekannt sowas zu überwachen und im Falle das Falles einen derartigen Prozess zu beenden.
Wer soll da geschützt werden?
Der einzige unter Linux verfügbare Virenscanner prüft eigentlich ausschließlich, ob Windows-Viren gefunden werden. Ein Linux-Server muß nicht vor Viren geschützt werden, weil das Betriebssystem banale Virenangriffe einfach nicht zuläßt.
Wenn man angreifen will, muß man schon deutlich mehr Wissen über das konkrete System und darauf installierte löchrige Software haben.
Vielleicht walzt du den Zweck des Vorhabens nochmal etwas mehr aus.
- Sven Rautenberg
--
"Love your nation - respect the others."-
Hallo,
du hast Recht. Im Grunde geht es auch nicht um reale Viren sondern eher schadhafte Software c57/c99 massenmailscripte etc. die naiven scripten untergejubelt werden. Es wird dann damit argumentiert das der lokale Scanner unter Win dies bemängelt da muss es doch der server auch können. Den suhosin-patch verwende ich schon eine weile. die Extension habe ich eben erst installiert. Wenn dieser sowas abfängt wäre ja schon fast alles in Ordnung.
Danke Oleg
-
Moin!
du hast Recht. Im Grunde geht es auch nicht um reale Viren sondern eher schadhafte Software c57/c99 massenmailscripte etc. die naiven scripten untergejubelt werden. Es wird dann damit argumentiert das der lokale Scanner unter Win dies bemängelt da muss es doch der server auch können. Den suhosin-patch verwende ich schon eine weile. die Extension habe ich eben erst installiert. Wenn dieser sowas abfängt wäre ja schon fast alles in Ordnung.
Ein Scanner kann niemals Cross-Site-Scripting abfangen. Das ist eine Sache von sicherer Programmierung, z.B. (aber nicht nur) vernünftiger Parametervalidierung und kontextspezifieschem Escaping.
BTW: Was soll ich mir unter c57/c99 vorstellen?
- Sven Rautenberg
--
"Love your nation - respect the others."-
Hallo,
c57.php und c99.php sind diverse schadhafte scripte die im Netz rumgeistern. Für korrekt gesicherte Server stellt dies kein Problem dar, Spamversand oder veränderte Dateien im Homeverzeuchnis sind aber auch unschön.
Über die vernünfigte Programmierung sind wir uns einig, das ist auch die Meinung der Fachleute. Diese vernünftige Meinung unvernünftigen Leuten die die Entscheidungsgewalt besitzen beizubringen ist eine andere Sache ;)
Ich werd mal sehen was die suhosin-extension bringt. Diese soll ja recht "giftig" sein. Sicher analysiert diese auch nicht den Code sondern reagiert auf das Überschreiten diverser Limits, wenn diese aber für verschiedene bekannte XSS typisch sind ist mir schon viel geholfen.So weit erstmal
Danke
Oleg
-
-
-