abr 062013
 

O Mod Security funciona como um módulo do apache previnindo contra tentativas de invasão, segue abaixo os comandos necessários para configuração do Mod Security com as regras da Atomicor:

Acesse o SSH como root e digite os comandos abaixo:


# cd /usr/local/apache/conf/
# mkdir modsec_rules
# cd modsec_rules
# wget https://www3.atomicorp.com/channels/rules/delayed/modsec-201212291012.tar.gz
# tar zvxf modsec-201212291012.tar.gz
# rm -fr zvxf modsec-201212291012.tar.gz

Agora crie alguns diretórios com os comandos abaixo:


# mkdir /var/asl
# mkdir /var/asl/tmp
# mkdir /var/asl/data
# mkdir /var/asl/data/msa
# mkdir /var/asl/data/audit
# mkdir /var/asl/data/suspicious
# mkdir /etc/asl

Configure a permissão dos diretórios criados:


# chown nobody.nobody /var/asl/data/msa
# chown nobody.nobody /var/asl/data/audit
# chown nobody.nobody /var/asl/data/suspicious
# chmod o-rx -R /var/asl/data/*
# chmod ug+rwx -R /var/asl/data/*

Crie o arquivo responsável por liberar o acesso ao servidor sem que seja aplicada as regras do Mod Security:


# touch /etc/asl/whitelist

Agora acesse o WHM e clique no link “Mod Security”, substitua as regras atuais pelas regras abaixo:


SecComponentSignature 201212291012
SecRequestBodyAccess On
SecResponseBodyAccess On
SecResponseBodyMimeType (null) text/html text/plain text/xml
SecResponseBodyLimit 2621440
SecServerSignature Apache
SecUploadDir /var/asl/data/suspicious
SecUploadKeepFiles Off
SecAuditLogParts ABIFHZ
SecArgumentSeparator '&'
SecCookieFormat 0
SecRequestBodyInMemoryLimit 131072
SecDataDir /var/asl/data/msa
SecTmpDir /tmp
SecAuditLogStorageDir /var/asl/data/audit
SecResponseBodyLimitAction ProcessPartial
SecPcreMatchLimit 150000
SecPcreMatchLimitRecursion 150000

# ConfigServer ModSecurity - descomente caso vc use o ConfigServer CMC.
# Include /usr/local/apache/conf/modsec2.whitelist.conf

#ASL Rules
Include /usr/local/apache/conf/modsec_rules/modsec/99_asl_jitp.conf
Include /usr/local/apache/conf/modsec_rules/modsec/50_asl_rootkits.conf
#Include /usr/local/apache/conf/modsec_rules/modsec/00_asl_rbl.conf
Include /usr/local/apache/conf/modsec_rules/modsec/00_asl_whitelist.conf
Include /usr/local/apache/conf/modsec_rules/modsec/05_asl_scanner.conf
Include /usr/local/apache/conf/modsec_rules/modsec/20_asl_useragents.conf

Agora salve as configurações que automaticamente as regras já estarão funcionando em seu servidor 🙂

mar 192012
 

Scanner de rootkit é uma ferramenta de verificação para garantir que você está cerca de 99,9% limpo de ferramentas desagradáveis. Essa ferramenta verifica a existência de rootkits, backdoors e exploits locais, executando testes como:

– Compara MD5 Hash
– Procura por arquivos padrão utilizadas por rootkits
– Permissões de arquivo errada para binários
– Verifica strings suspeitas nos módulos LKM e KLD
– Procura por arquivos ocultos
– Scan opcional dentro arquivos de texto e arquivos binários

Segue abaixo os comandos para instalar o RkHunter


# cd /usr/local/src/
# wget http://hivelocity.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz
# tar -xzvf rkhunter-1.4.2.tar.gz
# cd rkhunter-1.4.2
# ./installer.sh --install
# vi /etc/cron.daily/rkhunter.sh

Após instalar crie o arquivo no cron com o seguinte conteúdo:


#!/bin/bash
#
(/usr/local/bin/rkhunter -c --cronjob 2>&1 | mail -s "RKhunter Scan Detalhes" [email protected])

Altere o email “[email protected]” pelo email que receberá as notificações, após criar o arquivo será necessário conceder permissão para execução, faça isso com o comando abaixo:


# chmod +x /etc/cron.daily/rkhunter.sh

dez 152011
 

Para verificar a existência de malware no servidor você pode instalar o maldetect, segue abaixo os comandos para instalar o maldetect:


# cd /usr/local/src/
# rm -vrf maldetect-*
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
# tar -xzf maldetect-current.tar.gz
# cd maldetect-*
# sh ./install.sh
# maldet --update-ver
# maldet --update

Para configurar o maldetect edite o arquivo /usr/local/maldetect/conf.maldet e altere as linhas conforme abaixo:


email_alert=1
email_addr="[email protected]"
quar_hits=1

Altere o email_addr para o email que irá receber as notificações.

Para pesquisar por malware em todas as contas digite o comando abaixo:

maldet -a /home?/?/public_html

Para pesquisar por malware em apenas uma conta digite o comando abaixo:

maldet --scan-all /home?/USER/public_html

Substitua USER pelo usuário que irá analisar.

Por enquanto é só 🙂