Detectando possíveis trojans e lkms em seu servidor

Neste artigo vamos conhecer o trojan-scan, um software criado para detectar qualquer processo que venha ficar em modo listen em nosso sistema e assim, enviar um e-mail para o administrador para notificá-lo de que há um daemon não autorizado rodando no servidor.

[ Hits: 29.995 ]

Por: Bruno em 14/10/2005


Introdução



O objetivo neste artigo é montar um sistema de monitoração de processos locais em um servidor, pois quando houver algum processo que não esteja autorizado no arquivo de configuração do trojan-scan, ele informa o administrador sobre tal evento, podendo assim, tomar uma ação mais eficiente caso alguma backdoor for instalada no servidor e levantar uma porta alta.

Instalação do trojan-scan


OBS: Para a instalação e utilização do PSAD estou levando em consideração que o leitor possua conhecimentos prévios em manipulação de arquivos compactados (.tar.gz).

Sistema Operacional: Debian Stable 3.1

Primeiramente instale o lsof:

# apt-get install lsof

Agora vamos fazer download do trojan-scanHomepage:

# wget http://www.derks.it/trojan-scan-1.2.tgz

Agora vamos descompactar:

# tar zxvf trojan-scan-1.2.tgz

Ele irá descompactar 2 arquivos:
  • trojan-scan.conf
  • trojan-scan.sh

Crie o diretório trojan-scan no /etc e copie o trojan-scan.conf pra ele:

# mkdir /etc/trojan-scan
# cp trojan-scan.conf /etc


Agora copie o trojan-scan.sh para /usr/local/sbin/:

# cp trojan-scan.sh /usr/local/sbin/

    Próxima página

Páginas do artigo
   1. Introdução
   2. Configurando o trojan-scan
   3. Testando o trojan-scan
   4. Considerações finais
Outros artigos deste autor

POP3 gateway com fetchmail

Alta disponibilidade de links

Leitura recomendada

Cliente Linux no servidor LDAP

Análise sobre políticas de segurança da informação

Slackware vs PAM

Bloqueio de repetidas tentativas de login ao seu Linux

Sudoers 1.8.12 - Parte IV - Manual

  
Comentários
[1] Comentário enviado por brunocontin em 15/10/2005 - 10:44h

Parcero isso serviria para uma rede que tem muitas estações linux, ele podeira monitorar essas estações, se eu tivesse um servidor linux ( internet ) rodando.?

[2] Comentário enviado por chroot em 15/10/2005 - 12:57h

sim..sem problemas

[3] Comentário enviado por leoberbert em 15/10/2005 - 15:43h

Um belo trabalho abortado neste artigo, meus parabens.

So gostaria de saber se ele funcionaria com estacoes Windows tb?

abraços!

[4] Comentário enviado por removido em 15/10/2005 - 19:55h

Ele parece um mini firewall interativo. Seu artigo foi muito bem escrito parabéns!

[5] Comentário enviado por removido em 16/10/2005 - 14:07h

Eu gostaria de parabeniza-lo por este artigo e dizer que nos precisamos nos proteger e para aqueles que não tem tanto tempo de descobrir, posiveis falhas no sistema, que participem e leiam os artigos, pois estão sendo muito bem apresentados.

[6] Comentário enviado por chroot em 16/10/2005 - 20:25h

Obrigado!

[7] Comentário enviado por kaink em 17/10/2005 - 10:05h

valeu !!!excelente artigos !!

[8] Comentário enviado por franzejr em 17/10/2005 - 18:26h

Muito bom!!

[9] Comentário enviado por m_santos em 18/10/2005 - 21:46h

Parabéns! Excelente artigo!

Gostaria de saber com quais distros/versão_kernel funciona??

[10] Comentário enviado por chroot em 19/10/2005 - 09:47h

qualquer distro, e kernel 2.4x 2.5x e 2.6x

[11] Comentário enviado por pollontechnology em 18/01/2007 - 10:59h

olá pessoal estou chegando agora....

belo artigo !!! Gostaria de saber se funciona com a distribuição redhat 9 ????

abraços
obrigado

[12] Comentário enviado por chroot em 18/01/2007 - 11:17h

funciona sem problemas em RH9


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts