Resultados 1 a 7 de 7
  1. #1
    Quero ser Guru
    Data de Ingresso
    Nov 2012
    Posts
    51

    Como você configura seu ConfigServer eXploit Scanner?

    Olá Senhores, utilizamos o ConfigServer eXploit Scanner e percebemos que nele há centenas de comandos para que as varreduras sejam elas efetuadas por CRON ou em tempo real, sejam eficientes e seguras.

    Alguém poderia postar a forma que utiliza essa plugin?

    Eu por exemplo, executo assim:

    -
    • Toda sexta-feira a CRON escaneia o servidor todo através do comando: /usr/sbin/cxs --mail root --exploitscan --virusscan --options mMOLfuSGchexdnwZDR --qoptions Mhvm --quarantine /home/quarantine/ --summary --allusers
    • Em tempo real, o servidor executa isso a cada arquivo novo no servidor: /usr/sbin/cxs --Wstart --allusers --www --smtp --mail root@joinvix.com.br --qoptions Mhvm --quarantine /home/quarantine/ --Wmaxchild 3 --Wloglevel 0 --Wsleep 3 --filemax 0 --Wrateignore 300 --Wsymlink /etc/cxs/symlinkdisable.example.pl


    Vocês fazem algo novo ou diferente?

  2. #2
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Posts
    1,608
    Eu uso o cxs apenas p/ monitoramento de upload em tempo real

    Aqui, quando um arquivo é encontrado pelo maldet e não pelo cxs, rodamos o md5sum no ssh daquele arquivo e colocamos no cxs.xtra p/ ser identificado em tempo real também.
    oGigante.com*• Revenda de Hospedagem Cloud Linux + WHMCS Grátis
    VWhost.com.br • Revenda de Hospedagem Linux Cpanel + CloudFlare
    Zocka.com.br • Hospedagem de Sites Cpanel + Construtor de Sites

  3. #3
    Quero ser Guru
    Data de Ingresso
    Nov 2012
    Posts
    51
    Citação Postado originalmente por chuvadenovembro Ver Post
    Eu uso o cxs apenas p/ monitoramento de upload em tempo real
    Aqui, quando um arquivo é encontrado pelo maldet e não pelo cxs, rodamos o md5sum no ssh daquele arquivo e colocamos no cxs.xtra p/ ser identificado em tempo real também.
    Amigo, muito obrigado!
    Aproveitando sua dica, vou instalar o maldet aqui nos servidores, pode analisar se meu passo a passo confere?

    cd ~
    wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
    tar -xzf maldetect-current.tar.gz
    cd maldetect-*
    sh install.sh

    Editar Configurações:
    nano /usr/local/maldetect/conf.maldet

    Ajustes:
    email_alert=1
    email_addr="seu@email.aqui"
    quar_hits=1

    Execução Manual:
    maldet -a /home?/?/public_html

  4. #4
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Localização
    /sc/rionegrinho
    Posts
    1,036
    Isso vai ajudar a poupar processamento

    Código:
    echo -e '.pdf\n.mp3\n.gif' >> /usr/local/maldetect/ignore_file_ext
    Claro, você pode adicionar outras extensões ali nesse arquivo.
    Alexandre Silva Hostert

    Veezon
    Gerenciamento de Servidores


    http://veezon.com.br
    http://br.linkedin.com/in/alexandreveezon

  5. #5
    Quero ser Guru
    Data de Ingresso
    Nov 2012
    Posts
    51
    Citação Postado originalmente por AlexandreVeezon Ver Post
    Isso vai ajudar a poupar processamento

    Código:
    echo -e '.pdf\n.mp3\n.gif' >> /usr/local/maldetect/ignore_file_ext
    Claro, você pode adicionar outras extensões ali nesse arquivo.
    Muito obrigado, vai ajudar!

  6. #6
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Localização
    Rio de Janeiro - RJ
    Posts
    2,289
    Citação Postado originalmente por AlexandreVeezon Ver Post
    Isso vai ajudar a poupar processamento

    Código:
    echo -e '.pdf\n.mp3\n.gif' >> /usr/local/maldetect/ignore_file_ext
    Claro, você pode adicionar outras extensões ali nesse arquivo.
    Mas os arquivos PDF, MP3 e GIF não podem estar infectados? Pelo menos sempre ouvi falar nos vírus desses arquivos (raros, mas tem).

  7. #7
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Posts
    1,608
    A dica do Alexandre é interessante, mas vejam só que apareceu hoje aqui:

    cxswatch Scanning /home/diocamp/public_html/sh.gif:
    # Suspicious image file (hidden script file):
    '/home/XXXXXXXXXX/public_html/sh.gif'

    Ao verificar a pasta do cliente tinha um sh.php com um script de upload.

    Infelizmente não dá p/ adicionar essa extensão em arquivos para serem ignorados
    oGigante.com*• Revenda de Hospedagem Cloud Linux + WHMCS Grátis
    VWhost.com.br • Revenda de Hospedagem Linux Cpanel + CloudFlare
    Zocka.com.br • Hospedagem de Sites Cpanel + Construtor de Sites

Permissões de Postagem

  • Você não pode iniciar novos tópicos
  • Você não pode enviar respostas
  • Você não pode enviar anexos
  • Você não pode editar suas mensagens
  •