Обнаружение вредоносных программ Linux

Анти-вредоносный движок, разработанный вокруг угроз, с которыми сталкиваются в современных средах хостинга. Он использует многогранные данные об угрозах из IPS-группы сетевого края, данных сообщества, ClamAV и систем представления пользователей для извлечения вредоносных программ, которые активно используются в атаках.

  • Network Edge IPS - IPS события обрабатываются для извлечения URL-адресов вредоносных программ, декодирования полезной нагрузки POST и базы64/gzip кодируемых данных злоупотреблений и в конечном счете, что вредоносные программы извлекаются, рассматриваются, классифицируются, а затем подписи генерируются по мере необходимости.
  • Данные сообщества - Данные агрегируются с нескольких веб-сайтов сообщества вредоносных программ, таких как clean-mx и malwaredomainlist затем обрабатываются для получения новых вредоносных программ, обзор, классификация, а затем генерировать подписи.
  • ClamAV - Подписи обнаружения HEX и MD5 от ClamAV отслеживаются на основе соответствующих обновлений, которые применяются к целевой группе пользователей LMD и добавляются в проект по мере необходимости.
  • Представление пользователей - функция проверки, которая позволяет пользователям отправлять подозреваемых вредоносных программ для обзора, это выросло в очень популярную функцию и генерирует в среднем около 30-50 представлений в неделю.

ClamAV Антивирус

ClamAV® с открытым исходным кодом многопоточный сканер daemon обнаруживает трояны, вирусы, вредоносные программы и другие вредоносные угрозы. Расширенные подписи от Malware Expert обеспечивают окончательное обнаружение вредоносных программ на основе PHP.

  • Расширенный обновление базы данных с поддержкой скриптовых обновлений и цифровых подписей.
  • Вирусные подписи обновляются несколько раз в день.
  • Встроенная поддержка различных форматов архивов, включая Цип, RAR, Dmg, Тар, Gzip, Bzip2, OLE2, Кабинет, CHM, BinHex, SIS и другие.
  • Встроенная поддержка исполнителей ELF и портативных исполняемых файлов, упакованных с UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack и запутываемыми с SUE, Y0da Cryptor и другими.

Карантинные вредоносные программы

Вредоносные программы могут быть quatantined хранения угроз в безопасном виде без каких-либо разрешений. Можно дополнительно восстановить файлы в исходный путь, владелец и разрешения.

  • Карантинная очередь, которая хранит угрозы безопасным способом без каких-либо разрешений.
  • Карантинная опция пакетирования для карантина результатов текущего или прошлого сканирования.
  • Карантинная опция восстановления для восстановления файлов в исходный путь, владелец и разрешения.
  • Просмотр, отоднивание, загрузка или восстановление карантинных файлов с помощью веб-браузера.

Чистые зараженные файлы

Более чистые правила будут пытаться удалить вредоносные программы вводили строки. Поддерживает base64 и gzinflate (base64 вводили вредоносные программы). После очистки выполняется он будет повторно сканируется и убедитесь, что чистый был успешным.

  • Более чистые правила для удаления вредоносных программ вводили строки.
  • Более чистый вариант пакетирования для попытки очистки предыдущих отчетов сканирования.
  • Более чистые правила для удаления base64 и gzzinflate (base64 вводили вредоносные программы).

Сканирование в реальном времени

Kernel на основе inotify в режиме реального времени сканирование файлов созданных / измененных / перемещенных файлов. Мониторинг всего дерева каталога vhosts мгновенно сканировать любые измененные файлы. Все его ресурсы находятся внутри памяти ядра и имеет очень небольшое использование cPU и пользовательский след в памяти.

  • Ядро на основе inotify в режиме реального времени сканирование файлов созданных / измененных / перемещенных файлов.
  • Монитор inotify Kernel, который может принимать данные о пути из STDIN или FILE.
  • Монитор inotify Kernel с динамическими ограничениями sysctl для оптимальной производительности.
  • Inotify Kernel оповещения через ежедневные и / или дополнительные еженедельные отчеты.

Обновления подписей

Подписи обновляются обычно один раз в день или чаще в зависимости от входящих данных об угрозах, извлечения вредоносных программ IPS и других источников. Подписи получены в основе отслеживания активных в диких угрозах, которые в настоящее время циркулируют. Данные об угрозах включают IPS-центры Network Edge, сообщество, ClamAV и представления пользователей.

  • Обновления подписи выполняются ежедневно через сценарий cron.daily по умолчанию.
  • Вы можете проверить наличие обновлений вручную через интерфейс Sentinel или командную строку, используя опцию --update.
  • Источник данных RSS и XML доступен для отслеживания обновлений угроз вредоносных программ.

Игнорировать варианты

Sentinel дает вам несколько вариантов, чтобы свести к минимуму любые ложные срабатывания. Игнорировать определенные пути, расширение файлов или белые неверные подписи всего за несколько кликов.

  • Игнорируйте определенные пути сканирования вредоносных программ.
  • Игнорировать конкретные расширения файлов от сканирования вредоносных программ.
  • Игнорировать конкретные подписи от запуска ложных срабатываний.
  • Регулярная поддержка выражения для исключения некоторых файлов из сканирования.

Сканирование по требованию

Sentinel позволяет сканировать веб-папку доменов всего за несколько кликов. Сканирование может автоматически карантин обнаруженных угроз (если включен) или позволяют карантин, очистка вредоносных программ или по электронной почте доклад клиента.

  • Обнаружение хэша файла MD5 для быстрой идентификации угроз.
  • HEX на основе шаблона, сопоставления для определения вариантов угроз.
  • Компонент статистического анализа для выявления запутанных угроз.
  • HTTP загрузить сканирование через mod_security2 inspectFile крючок.
  • Интегрированное обнаружение ClamAV для использования в качестве сканера двигателя для повышения производительности.
  • Сканирование недавно опции для сканирования только файлов, которые были добавлены / изменены в число дней, которые вы выбираете.
  • Сканирование с помощью регулярных вариантов выражения для включения или исключения соответствующих файлов.

Мониторинг доменов

Sentinel позволяет проверить статус черного списка ваших доменов с помощью API Google Web Risk.

  • Выполнить ночью, еженедельно, или ежемесячную проверку на домены и получать уведомления по электронной почте, когда домен попадает в черный список.
  • Просмотр типа угроз и платформы, о которых сообщается в API Веб-риска Google.
  • Просмотр полной истории каждой проверки, чтобы вы могли точно видеть, когда домен был скомпрометирован.
  • Включить или отключить уведомления для администраторов, реселлеров или клиентов.