问题[malware](server)

我只是使用这些说明从 Debian 10 升级到 Debian 11 。一切似乎都很顺利，除了 maldet 失败了。

这是错误：

maldet[2117]: maldet(2117): {mon} kernel does not support inotify(), aborting
systemd[1]: maldet.service: Can't open PID file /usr/local/maldetect/tmp/inotifywait.pid (yet?) after start: Operation not permitted 
systemd[1]: maldet.service: Failed with result 'protocol'.
systemd[1]: Failed to start Linux Malware Detect monitoring - maldet.

我的 /usr/lib/systemd/system/maldet.service 文件包含：

[Unit]
Description=Linux Malware Detect monitoring - maldet
After=network.target

[Service]
EnvironmentFile=/usr/local/maldetect/conf.maldet
ExecStart=/usr/local/maldetect/maldet --monitor USERS
ExecStop=/usr/local/maldetect/maldet --kill-monitor
Type=forking
PIDFile=/usr/local/maldetect/tmp/inotifywait.pid
[Install]
WantedBy=multi-user.target

在我更新之前，我验证了所有服务都正常工作，并且在更新期间选择了“N”否，拒绝替换我的自定义配置文件......所以应该没有任何改变。

另外，我使用的是 Linux 5.10.0-8-amd64 & maldet 1.6.4

有人可以帮我解决这个问题吗？谢谢

我们计划在同一个域上托管 WordPress 博客和电子商务商店，因此 URL 将如下所示：

example.com <--- Magento Store
example.com/blog/ <--- WordPress Blog

我们主要关心的是电子商务商店的安全性。我们觉得在同一个文档根目录中托管两个 CMS 并不安全。

是否有一些关于如何在同一个域上安全地托管多个 CMS 的最佳实践？我们曾想过

• 将部分代码移到文档根目录之外或
• 为每个 CMS 文件夹设置不同的所有者（或写入）权限

因此，如果有人入侵了 WordPress 博客，他们将无法访问该网站的其他部分。谢谢

我的服务器每天都会受到来自数千个 IP 地址的攻击。我有个主意。我可以举报那些恶意IP地址，或者利用资源赚钱吗？如何？

您可能认为这些攻击在 Internet 上很常见。但是对我的服务器的攻击有点特殊。它们每天都来自成千上万个不同的 ip。他们试图登录我的盒子（但失败了）。最不常见的是每个 ip 只进行几次尝试，然后其他 ip 继续。如果这种情况继续下去，我想我可以捕获世界上相当多的受感染计算机。

不要将您的想法限制在将这些 ip 报告到某个地方。这绝对是一个以我还不知道的方式赚钱的好资源。

反对票使我无法在这里提出新问题。各位访客能否为这个问题投票以帮助我摆脱限制？我诅咒那些失望的选民。

谢谢！

我 - 和其他几十个人一样 - 在我的部署中使用了 Miner kinsing。

与其他人不同，我有一个最小的服务器，没有安装 redis，也没有 cron。我唯一安装的是 docker 环境中的 symfony、php-fpm 和 apache。

但是 - 如果我在我的天蓝色环境中启动容器大约一小时后，如果进程激活激活。在以用户 apache 身份运行的容器 php-fpm 中。

码头工人日志说：

26-Oct-2020 15:50:08] NOTICE: fpm is running, pid 1
[26-Oct-2020 15:50:08] NOTICE: ready to handle connections
[26-Oct-2020 15:50:08] NOTICE: systemd monitor interval set to 10000ms
[26-Oct-2020 16:11:26] WARNING: [pool www] child 75 said into stderr: "  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current"
[26-Oct-2020 16:11:26] WARNING: [pool www] child 75 said into stderr: "                                 Dload  Upload   Total   Spent    Left  Speed"
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0sh: line 4: chattr: command not found"
[26-Oct-2020 16:11:26] WARNING: [pool www] child 75 said into stderr: "sh: line 5: chattr: command not found"
[26-Oct-2020 16:11:26] WARNING: [pool www] child 75 said into stderr: "sh: line 6: chattr: command not found"
[26-Oct-2020 16:11:26] WARNING: [pool www] child 75 said into stderr: "sh: line 7: chattr: command not found"
[26-Oct-2020 16:11:26] WARNING: [pool www] child 75 said into stderr: "sh: line 8: ufw: command not found"
[26-Oct-2020 16:11:26] WARNING: [pool www] child 75 said into stderr: "sh: line 9: iptables: command not found"
[26-Oct-2020 16:11:26] WARNING: [pool www] child 75 said into stderr: "sh: line 11: sudo: command not found"
[26-Oct-2020 16:11:26] WARNING: [pool www] child 75 said into stderr: "sh: line 12: /proc/sys/kernel/nmi_watchdog: Read-only file system"
[26-Oct-2020 16:11:26] WARNING: [pool www] child 75 said into stderr: "sh: line 13: /etc/sysctl.conf: Permission denied"
[26-Oct-2020 16:11:26] WARNING: [pool www] child 75 said into stderr: "userdel: user 'akay' does not exist"
[26-Oct-2020 16:11:26] WARNING: [pool www] child 75 said into stderr: "userdel: user 'vfinder' does not exist"

在第 4 行和第 5 行，它看起来像 wget 的输出。但这根本没有安装。

现在我开始好奇了——如果没有安装“通常”的传播方式，这个矿工怎么能访问我的系统？

我的计划是在启动容器后跟踪每个文件操作，直到找到一个两位数的 sh 来执行其他步骤。

我无法在容器中安装 sysdig ( https://github.com/draios/sysdig/wiki/How-to-Install-Sysdig-for-Linux ) - 我可以使用什么替代方案？将每个文件移动和每个启动的进程写入日志的工具会很棒。

有什么推荐吗？

我在我的centos 8机器上发现了一些奇怪的过程检查上面的照片：

当我键入时，cat /etc/passwd我在任何地方都看不到用户 990，这个kinsing过程也很奇怪，因为这与最初使用 redis 感染我的机器的过程相同。

我怎样才能找到这个并弄清楚发生了什么？我已经从我的系统中删除了它卸载redis也删除了用于运行矿工进程的redis用户名，但是我感兴趣的图像中运行的进程很明显他们仍然在我的系统中有一些东西我怎么能找到在哪里运行此过程的文件？以及运行此进程的这个 990 用户名是谁。

我刚刚发现的有关该过程的其他信息：

ls -la /proc/41325/exe
lrwxrwxrwx 1 990 987 0 Feb 28 21:53 /proc/41325/exe -> '/var/tmp/kinsing (deleted)'

如何从我的 Centos 8 机器上完全卸载 redis？

我有一个通过 redis 不断进入的恶意软件

41533 redis     20   0 5883224   4.4g   2776 S  1593  13.9  13507:24 kdevtmpfsi

在感染此病毒https://askubuntu.com/questions/1115770/crond64-tsm-virus-in-ubuntu后，我即将安装新的 ubuntu 服务器。

在安装新的 VPS 时，我将安装 clamav 并遵循以下保护提示：https ://www.eurovps.com/blog/20-ways-to-secure-linux-vps/

我应该将其应用于新 VPS 是否足够，或者是否有任何其他一般或专门针对该病毒的提示？

谢谢

我在我的网站上运行了一个恶意软件扫描程序，它将一堆压缩的 EXE 文件标记为潜在的风险文件（这些文件是由用户上传的）。由于我能够在我的 Mac 上解压缩文件，我假设这些是真正的 ZIP 文件，而不仅仅是重命名的 PHP 文件。

所以 ZIP 文件不应该对我的网络服务器有任何风险，对吧？

我已经在我的 CentOS 7 服务器中安装了 Linux Malware Detect 和 ClamAV，看起来一切正常，因为它会命中EICAR 恶意软件测试文件并且可以毫无问题地进行预定扫描。

当我上传一个真正的恶意软件 PHP 文件时，问题就出现了，该文件是我在旧的共享网络服务器中的先前攻击中保留的。Maldet 不将其视为恶意文件。

我知道所有的 AV 都会漏掉一些威胁，但在这种情况下是一个非常明显的受感染文件，IMO。

//footer.php
<?php 
function nBMj($NrG)
{
    $NrG=gzinflate(base64_decode($NrG));
    for($i=0;$i<strlen($NrG);$i++)
    {
        $NrG[$i] = chr(ord($NrG[$i])-1);
    }
    return $NrG;
}
eval(nBMj("Some_base64_encoded_text"));
?>

这是一个非常常见的 Wordpress hack，甚至没有混淆可疑功能。

从Maldet 开发者页面：

特征

• 用于检测混淆威胁的统计分析组件（例如：base64）
• 删除 base64 和 gzinflate（base64 注入恶意软件）的更清晰规则

这是一个有 10 到 20 个站点的 Web 服务器，运行流行的 CMS，如 drupal 和 wordpress，因此绝大多数攻击都与这种文件感染有关。

所以，问题是：我错过了什么？base64/gzinflate 脚本是否有任何特殊配置，或者这是正常行为？也许带有 ClamAv 的 Maldet 不是网络服务器的最佳工具？

maldet / Rfxn Linux MalDetect 文档为获取电子邮件报告提供了此功能，即使没有发现任何内容：

-e, --report SCANID email
   View scan report of most recent scan or of a specific SCANID and optionally
   e-mail the report to a supplied e-mail address
   e.g: maldet --report
   e.g: maldet --report list
   e.g: maldet --report 050910-1534.21135
   e.g: maldet --report SCANID [email protected]

一切都非常简单，但我不确定如何在此处将电子邮件地址作为第二个参数传递，同时允许第一个参数（扫描 ID）回退到其默认值，以便 maldet 将最新报告的任何内容发送给此自定义电子邮件地址。我希望能够使用它（例如在 cron 中）定期检查 Maldet 是否正在扫描并能够按预期发送电子邮件报告。

我已经尝试maldet --report "" [email protected]基于在 bash 中传递空变量的标准方法，但它会忽略它并将看起来像空报告的内容输出到控制台中。

我也尝试过类似的东西maldet --report 0 [email protected]，maldet --report " " [email protected]但它会响应{report} no report found, aborting。

如果相关，环境是 Centos。