Linux 惡意軟體檢測

圍繞當今託管環境中所面臨的威脅設計的反惡意軟體引擎。它使用來自網路邊緣 IPS、社區資料、ClamAV 和使用者提交系統的多方面威脅資料來提取正在積極用於攻擊的惡意軟體。

  • 網路邊緣 IPS - IPS 事件被處理以提取惡意軟體 URL、解碼 POST 有效負載和 base64/gzip 編碼濫用資料,並最終檢索、審查、分類惡意軟體,然後根據需要生成簽名。
  • 社區資料 - 資料從多個社區惡意軟體網站(如 clean-mx 和惡意軟體域清單)進行聚合,然後進行處理以檢索新的惡意軟體、查看、分類,然後生成簽名。
  • ClamAV - 從 ClamAV 的 HEX 和 MD5 檢測簽名被監視,以尋找適用于 LMD 的目標使用者組的相關更新,並根據需要添加到專案中。
  • 使用者提交 - 簽出功能,允許使用者提交可疑的惡意軟體以供審查,這已發展成為一個非常流行的功能,平均每週生成約 30-50 個提交。

克拉瓦病毒

ClamAV®開源多執行緒掃描程式守護程式檢測木馬、病毒、惡意軟體和其他惡意威脅。惡意軟體專家的擴展簽名提供基於 PHP 的惡意軟體的最終檢測。

  • 支援腳本更新和數位簽章的高級資料庫更新程式。
  • 病毒簽名每天更新多次。
  • 內置支援各種歸檔格式,包括 Zip、RAR、Dmg、Tar、Gzip、Bzip2、OLE2、機櫃、CHM、BinHex、SIS 等。
  • 內置支援 ELF 可執行檔和可擕式可執行檔,這些檔包含 UPX、FSG、Petite、NsPack、wwpack32、MEW、Upack 和混淆與 SUE、Y0da 加密程式等。

隔離惡意軟體

惡意軟體可以以安全的方式存儲威脅,而沒有許可權。您可以選擇將檔案還原到原始路徑、擁有者和許可權。

  • 隔離佇列以安全的方式存儲威脅,沒有許可權。
  • 隔離批次處理選項,用於隔離當前或過去掃描的結果。
  • 隔離還原選項,用於將檔案還原到原始路徑、擁有者和許可權。
  • 使用 Web 瀏覽器查看、編輯、下載或還原隔離的檔。

清理受感染的檔

更簡潔的規則將嘗試刪除惡意軟體注入的字串。支援 base64 和 gzinflate(base64 注入的惡意軟體)。執行清潔後,將重新掃描並驗證清潔是否成功。

  • 更乾淨的規則,試圖刪除惡意軟體注入的字串。
  • 更清潔的批次處理選項,用於嘗試清理以前的掃描報告。
  • 更乾淨的規則,以消除基地64和gzinflate(base64注入的惡意軟體)。

即時掃描

基於內核的 inotify 即時檔掃描創建/修改/移動的檔。監視整個 vhosts 目錄樹,立即掃描任何更改的檔。其所有資源都在內核記憶體中,在記憶體中具有非常小的 cpu 使用率和使用者空間佔用量。

  • 基於內核的inotify即時檔掃描創建/修改/移動的檔。
  • 內核 inotify 監視器,可以從 STDIN 或 FILE 獲取路徑資料。
  • 內核 inotify 監視器具有動態系統限制,可實現最佳性能。
  • 內核通知通過每日和/或可選的每週報告。

簽名更新

簽名通常每天更新一次或更頻繁地更新,具體取決於傳入的威脅資料、IPS 惡意軟體提取和其他來源。簽名來自當前傳播的野生威脅中的跟蹤活動。威脅資料包括網路邊緣 IPS、社區、ClamAV 和使用者提交。

  • 簽名更新每天通過預設 cron.daily 腳本執行。
  • 您可以使用 --update 選項通過 Sentinel 介面或命令列手動檢查更新。
  • RSS 和 XML 資料來源可用於跟蹤惡意軟體威脅更新。

忽略選項

哨兵為您提供多種選項,以儘量減少任何誤報。只需按一下幾下,即可忽略特定路徑、檔副檔名或白名單錯誤簽名。

  • 忽略惡意軟體掃描的特定路徑。
  • 忽略惡意軟體掃描中的特定檔副檔名。
  • 忽略觸發誤報的特定簽名。
  • 正則運算式支援將某些檔排除在掃描之外。

按需掃描

Sentinel 允許您只需按一下幾下即可掃描域 Web 資料夾。掃描可以自動隔離檢測到的威脅(如果啟用),或允許您隔離、清除惡意軟體或通過電子郵件向客戶報告。

  • MD5 檔雜湊檢測,用於快速識別威脅。
  • 基於 HEX 的模式匹配,用於識別威脅變體。
  • 用於檢測模糊威脅的統計分析元件。
  • HTTP 上傳掃描通過mod_security2檢查檔掛鉤。
  • 集成檢測 ClamAV,用作掃描器引擎,以提高性能。
  • 掃描最新選項,用於僅掃描在您選擇的天數中添加/更改的檔。
  • 使用正則運算式選項掃描以包括或排除匹配檔。

域監控

Sentinel 允許您使用 Google 網路風險 API 檢查域的黑名單狀態。

  • 對域進行每晚、每週或每月檢查,並在功能變數名稱被列入黑名單時通過電子郵件收到通知。
  • 查看 Google 網路風險 API 報告的威脅類型和平臺。
  • 查看每個檢查的完整歷史記錄,以便您可以準確查看域何時被入侵。
  • 為管理員、轉銷商或用戶端啟用或禁用通知。