När vi i somras äntligen fick en lagringslösning som klarar av våra tuffa krav blev det möjligt att scanna våra kunders hemsidefiler efter virus. Totalt har våra kunder nästan en halv miljard filer för sina hemsidor, därför tar det stor kapacitet att scanna filerna efter virus även om lagringslösningen är snabb.
Ett annat problem är att antivirusprogram ofta är inriktade på skadliga programfiler som är tänkta att köras på persondatorer. Då dessa program inte går att köra på våra servrar är de ett mindre problem. Värre är de scriptfiler som används för att skicka ut spam, skicka besökare till suspekta sidor eller ge hackern kontroll över hela webbplatsen.
Nedanstående bild visar en del av en scriptfil som hackers använder för att kunna lägga upp ytterligare filer på en hemsida. Om denna fil ligger kvar på en hemsida hjälper det inte att man löst det ursprungliga säkerhetshålet då denna fil ger hackern möjlighet att lägga upp egna filer och därmed få full kontroll över hemsidan.
På Virustotal.com kan man kontrollera en fil med flera olika antivirusprogram. Testar vi att scanna ovanstående fil är resultatet dystert. Av 48 antivirusprogram var det inte ett enda program som reagerade på filen. Hade vi scannat våra kunders konton med ett vanligt antivirusprogram hade alltså denna fil passerat obemärkt förbi.
Hur löser vi då detta? Jo, ClamAV är ett antivirusprogram som inte bara är fritt att använda. Man kan dessutom väldigt enkelt lägga in egna mönster för virusfiler man vill hitta. På så sätt kan vi så snart vi upptäckt en skadlig fil lägga in mönster för den och bara några minuter senare kontrollera om den skadliga filen ligger på någon mer kunds konto. Arbetet med att lägga in egna mönster har pågått sedan i somras då vi började med att köra ClamAV för konto där vi misstänkte intrång. Antalet mönster som vi lagt in själva är nu över 100 och var sjätte skadlig fil vi hittar är tack vare ett mönster vi själva lagt in. Under hösten har vi scannat genom samtliga kunders konto och rensat upp över 100 000 skadliga filer.
Nu virusscannas kundernas filer regelbundet. Vi har som mål att ändrade filer ska scannas inom ett dygn men jobbar hårt för att genomföra ännu snabbare scanning..
Vi upptäcker hela tiden nya filer som varken hittas med vanliga antivirusprogram eller våra mönster. Scanningen ger därför inte ett 100%-igt skydd och det är därför viktigt att man minimerar riskerna för intrång. För den som följer bloggen är våra tips bekanta:
- Ha ett antivirusprogram installerat på din dator, se till att det uppdateras regelbundet.
- Håll scripten till din hemsida uppdaterade, glöm inte att också hålla plugins och teman uppdaterade.
- Använd SSH istället för FTP för filöverföring.
- Använd lösenord som inte går att gissa sig till.
Har du frågor eller synpunkter? Kommentera gärna nedan!