[spip-dev] Contrôle d'intégrité du core spip avec yara

azerttyu · Juillet 29, 2019, 12:42

Bonjour tout le monde

Pour info j'ai fait un petit script orienté hébergeur permettant de
vérifier que le core spip est intègre. (c'est à dire que personne ne
s'est amusé à modifier son code : scrpt kiddy, agence incompétent,
reliquat d'un ancien temps, ....)

Cela utilise yara (https://git.spip.net/outils/yara-spip) disponible
sur toutes les bonnes distributions serveur couplé au script
https://github.com/nbs-system/php-malware-finder pour la génération
des règles d'exception et son exécution sur le serveur.

https://git.spip.net/outils/yara-spip

J'aimerai aussi intégrer les plugins dist qui sortent des faux
positifs dans les alertes mais ce n'est pas trivial.

Km

b_b · Juillet 30, 2019, 9:03

Hop,

Le 29/07/2019 à 14:42, cam.lafit@azerttyu.net a écrit :

Bonjour tout le monde

Pour info j'ai fait un petit script orienté hébergeur permettant de
vérifier que le core spip est intègre. (c'est à dire que personne ne
s'est amusé à modifier son code : scrpt kiddy, agence incompétent,
reliquat d'un ancien temps, ....)

Cela utilise yara (Connexion · GitLab) disponible
sur toutes les bonnes distributions serveur couplé au script
GitHub - nbs-system/php-malware-finder pour la génération
des règles d'exception et son exécution sur le serveur.

Connexion · GitLab

J'aimerai aussi intégrer les plugins dist qui sortent des faux
positifs dans les alertes mais ce n'est pas trivial.

Merci pour le partage, peut-être qu'un petit README.md à la racine du repo serait utile ?

++
b_b

azerttyu · Juillet 30, 2019, 9:45

Salut

Merci pour le partage, peut-être qu'un petit README.md à la racine du
repo serait utile ?

Oui c'est prévu

Il y a un PR en attente qui permettrait d'utiliser le tout facilement :
https://github.com/nbs-system/php-malware-finder/pull/90

Là je regarde pour prendre en charge plugin-dist, en l'état cela reste
(trop) incomplet pour être exploitable dans de bonnes conditions.

Km