monitoring websites op adware/malware

Je zou Nessus Essentials een keer kunnen bekijken. Die tool is niet per definitie voor websites bedacht, maar heeft wel een optie om te scannen op vulnerabilities. De Essentials versie is gratis en te installeren op je eigen werkstation/laptop, wel kan het handig zijn om jezelf te whitelisten in je firewall zodat je jezelf niet buitensluit.

Wat versta je onder adware/malware? Troep geserveerd door af netwerken? Bestanden die uitgeserveerd worden? Of aangepaste code van de websites zelf? In het laatste geval, in welke taal zijn de websites geschreven?

andybreda schreef op woensdag 26 februari 2020 @ 09:51:Had laatst een site die geïnjecteerd was met adware door een brakke plugin. De code kan ik na detectie zelf opschonen.

Klinkt alsof je last hebt van gehackte websites, in dat geval moet je je energie eerst richten op het dichten van het lek, en niet enkel het opschonen van de code of signalering achteraf. Zie ook:

Wordpress-website gehacked; wat nu?
Ed Vertijsment in "Wordpress-website gehacked; wat nu?"

Als je zowaar last hebt van gehackte website dat je monitoring specifiek daarop (om die reden) denkt nodig te hebben (of het zelfde keer op keer hebt) pak je het mijn inziens verkeerd aan. Tijd om meer op security te gaan zitten.

Als je alles gefixt en je wilt toch monitoren kan je kijken naar verschillende mogelijkheden om bestanden die gewijzigd zijn te detecteren.

- Kijk naar de bewerkingsdatum op het bestandssysteem.
- Kijk naar een hash van het bestand.

En whitelist wijzigen gemaakt door eigen activiteit, anders krijg je false positives bij deployments etc.

Als je op inhoud wilt matchen kun je de meeste hacks eruit halen door te zoeken naar “eval(base64_decode(":

Ed Vertijsment in "Wordpress-website gehacked; wat nu?"

ManageWP heeft een security scanner, echter moet je wel de premium hebben voor monitoring. Kosten zijn 1 dollar per website per maand.

Staan de sites op een VPS? ClamAV is een gratis scanner die de VPS af gaat om te kijken naar virussen.

andybreda schreef op woensdag 26 februari 2020 @ 09:51:
Thanks!

Alles is gemaakt met een cms (wordpress /joomla)- gaat puur om de detectie van ads op de (vaak) frontpage. Had laatst een site die geïnjecteerd was met adware door een brakke plugin. De code kan ik na detectie zelf opschonen.

Als ik het goed begrijp heb je dus ergens "schone" broncode staan en je wilt weten of er op die 20 sites "vuile" broncode is terecht gekomen, ik zou zeggen : Vergelijk gewoon de bestanden...

Het probleem zit hem alleen in plugins etc, want hoe wil je daarvan bepalen of wat die doen goed of fout is? Dat vereist echt actief bijhouden van alle malware en dat in bibliotheken stoppen waarmee je kan zoeken. Alleen tja, dat zijn geen goedkope diensten (en ze lopen altijd achter)

Gomez12 schreef op woensdag 26 februari 2020 @ 11:27:
[...]
Dat vereist echt actief bijhouden van alle malware en dat in bibliotheken stoppen waarmee je kan zoeken.

Meh, 99.99% van alle WordPress hacks wrapped alles in "eval(base64_decode("*, alsof ze gedetecteerd willen worden. Maar ik zie meer in actief bijhouden welke plugin versies er gebruikt worden en of daar exploits voor bekend zijn en dan al alarm slaan.

Ik werk zelf niet meer met WordPress maar dit moet wel te doen zijn met wat kunst en vliegwerk verwacht ik.

*bron: Ik heb op een abuse afdeling van een webhoster gewerkt.

En dit staat in Softwareontwikkeling omdat...
Waar hoort mijn topic?

Softwareontwikkeling >> Privacy & Beveiliging