ConfigServer.com a algum tempo tem vindo a desenvolver software grande orientada para servidores, um firewall famoso, QCA, agora temos uma nova ferramenta de segurança, desta vez a fim de encontrar exploits e códigos maliciosos no nível de arquivo. O primeiro passo para utilizar este software é comprar a sua licença no momento de escrever este post é $ 50 dólares e é um pagamento único para a vida, mesmo que você tem que mover o software de servidor que você precisa e ainda permanece válida.
Em seguida basta digitar:
wget http://www.configserver.com/free/cxsinstaller.tgz
tar -xzf cxsinstaller.tgz
perl cxsinstaller.pl
rm -fv cxsinstaller.*
E então podemos entrar para configurar WHM Exploit Scanner ConfigServer (CXS) a gosto. Nós vamos encontrar muitas opções e ferramentas para a atividade, e integrá-lo para definir microns digitalização explora a trabalhar com a varredura de vírus (necessita de antivírus ClamAV).
Outra boa característica desta ferramenta é que não só os canais de idenifican mais de 4500 explorações, integra também a exploração de vulnerabilidades que podem entrar no sistema através do controle de uploads com mod_security, e através do serviço FTP com pura -- ftpd.
Para ativar o mod_security digitalização deve adicionar as seguintes regras para arquivo de configuração do mod_security:
SecRequestBodyAccess On
SecRule FILES_TMPNAMES "@inspectFile /etc/cxs/cxscgi.sh" \
"log,auditlog,deny,severity:2,id:'1010101'"
Se você fizer o upload de arquivos grandes, deve aumentar o limite de tamanho para arquivos de 128 MB, acrescentando que o SecRequestBodyLimit directiva após SecRequestBodyAccess:
SecRequestBodyLimit 134217728
Os montantes de valor até 128 MB em bytes (134217728 = 128).
Em seguida, reinicie http:
/etc/init.d/httpd restart
Como alternativa mod_security a ser utilizado também pela ativação Suhosin no php.ini a seguinte diretiva suhosin.so após o carregamento de módulos:
suhosin.upload.verification_script = "/etc/cxs/cxscgi.sh"
Em seguida, reinicie o http:
/etc/init.d/httpd restart
IMPORTANTE: não ativar a varredura com Suhosin mod_security e ao mesmo tempo!
Para ativar a digitalização para FTP uploads pura ftpd.conf editamos e descomente a seguinte linha:
#CallUploadScript yes
Lia:
CallUploadScript yes
Reiniciar pure-ftpd y pure-uploadscript:
/etc/init.d/pure-ftpd restart
/etc/init.d/pure-uploadscript restart
IMPORTANTE: Pure-ftpd deve ser compilado com a opção-com-Uploadscripted para esta funcionalidade para ser executado sem problemas, cPanel já é compilado por padrão.
- Para ativá-lo no FreeBSD:
Adicione as seguintes linhas ao arquivo /etc/rc.conf:
pureftpd_enable="YES"
pureftpd_upload_enable="YES"
pureftpd_uploadscript="/etc/cxs/cxsftp.sh"
Reinicie o serviço.
Depois de realizar o exame, veremos casa por casa o resultado da análise, não apenas scripts, arquivos e diretórios também com permissões excessivas, links simbólicos entre os arquivos ou expressões regulares codificadas (exploits comum), exemplo:
———– SCAN SUMMARY ———–
Scanned directories: 111
Scanned files: 797
Ignored items: 0
Suspicious items: 199
Data scanned: 16.09 MB
Scan time/item: 0.005 sec
Time: 4.133 sec
(31) Scanning /home/sitio1:
# Symlink to [public_html]:
‘/home/sitio1/www’
# Symlink to [/usr/local/apache/domlogs/sitio1]:
‘/home/sitio1/access-logs’
# World writeable directory:
‘/home/sitio1/public_html/administrator/ss_4a4b2a4ad4f50′
# World writeable directory:
‘/home/sitio1/public_html/images/343/thumbs’
———– SCAN SUMMARY ———–
Scanned directories: 433
Scanned files: 3915
Ignored items: 0
Suspicious items: 2
Data scanned: 28.81 MB
Scan time/item: 0.002 sec
Time: 9.791 sec
(32) Scanning /home/sitio2:
# Symlink to [public_html]:
‘/home/sitio2/www’
# Symlink to [/usr/local/apache/domlogs/sitio2]:
‘/home/sitio2/access-logs’
# Match for regular expression (regex) = “eval\s*\(\s*base64_decode\(“:
‘/home/sitio2/public_html/wp-atom.php’
# Match for regular expression (regex) = “eval\s*\(\s*base64_decode\(“:
‘/home/sitio2/public_html/wp-blog-header.php’
