Ir para o conteúdo
ou

Software livre Brasil

 Voltar a Alexos Core ...
Tela cheia

Antivírus em servidores Linux??

30 de Julho de 2011, 0:00 , por Software Livre Brasil - 0sem comentários ainda | Ninguém está seguindo este artigo ainda.
Visualizado 327 vezes

Engraçado como alguns conceitos mudam totalmente ao passar do tempo, principalmente quando alguns incidentes são os causadores destas mudanças.

Há algum tempo atrás e digo que isso não faz muito tempo, quando o assunto era instalar antivírus no Linux uma névoa negra encobria minha mente e o orgulho ou seria melhor dizer a ignorância incitava-me a questionar “POR QUE?” já que o Linux é totalmente imbatível.

Isso mudou após alguns eventos que acabaram mostrando a importância de termos um antivírus instalado e uma rotina diária de checagem do sistema.

Sempre é bom lembrar que apesar de todas as medidas de segurança adotadas no sistema, nunca podemos esquecer das vulnerabilidades nas aplicações. Algumas delas permitem a inserção de arquivos maliciosos ( eg backdoors ou BOTs ).

Existem backdoors escritos em php, asp, jsp, etc e PHP shells que permitem o controle total da máquina vitima, e o uso de um antivírus é fundamental na detecção e remoção destes malwares.

Vejam alguns exemplos de malwares detectados e removidos pelo Clamav:

./xxx.xxxx.xxx.br/xxxx/xoops_lib/modules/protector/s.txt: PHP.Remoteadmin-1 FOUND
./xxx.xxx.xxx.br/xxx/xoops_lib/modules/protector/sql/index.php/.Insiderz/xh: Hacktool.Fakeproc FOUND
./xxx.xxx.xxx.br/conepir/xoops_lib/modules/protector/sql/index.php/.Insiderz/nadya: Trojan.Eggdrop-117 FOUND
/xxx/xxx/xxx/xxx/xxx/xxxx/datacha0s.txt: PHP.Chaploit
/xxx/xxx/xxx/xxx/.X-un1x.2: Trojan.Perl.Shellbot-2

Estes arquivos são normalmente implantados no diretório /tmp com as permissões da aplicação. Em várias situações detectei alvos infectados conectando diversos servidores IRC formando botnets que derrubavam toda a infra da empresa.

Apartir dai passei a adotar uma rotina diária de checagem do /tmp a cada 05 min e do diretório /var/www/ uma vez ao dia, os resultados obtidos após estas medidas estão sendo bastantes satisfatórios.

Implementação

aptitude install clamav

Agendamento

crontab -e
*/5 * * * * clamscan -r –remove -l /var/log/clamav/scan_tmp.txt /tmp/
00 23 * * * clamscan -r –remove -l /var/log/clamav/scan_www.txt /var/www/

Qual AV usar fica a seu critério, para mim o Clamav vem dando conta do recado. Existem diversas soluções no mercado, escolha a sua.


Fonte: http://blog.alexos.com.br/?p=2699&lang=pt-br

0sem comentários ainda

Enviar um comentário

Os campos são obrigatórios.

Se você é um usuário registrado, pode se identificar e ser reconhecido automaticamente.