Para configuração vamos até o diretório /etc/trojan-scan, lá encontraremos o arquivo a seguir:
# cd /etc/trojan-scan
# ls -l
-rw-r--r-- 1 root root 1628 2005-10-07 11:21 trojan-scan.conf
Vamos editar este arquivo:
# vi trojan-scan.conf
Vamos mudar as variáveis:
RECIPIENTS="security@security.com"
Coloque nesta variável seu e-mail.
SUBJECT="[`hostname -s`] Trojan scanner report"
Esta variável se refere ao assunto que será enviado junto a mensagem, você pode alterar se quiser e deixar algo como "ALERTA!!! TROJAN".
ALLOWED="$ALLOWED httpd:{80,443}:{apache,root}"
ALLOWED="$ALLOWED mysqld:3306:mysql"
ALLOWED="$ALLOWED named:53:named"
ALLOWED="$ALLOWED sendmail:25:mail"
ALLOWED="$ALLOWED ftpd:21:!@any@!"
ALLOWED="$ALLOWED sshd:22:sshd"
ALLOWED="$ALLOWED xinetd:113:root"
Estas variáveis se referem a quais daemons ele não vai checar, no
exemplo acima, estas variáveis vem por padrão, no meu caso, eu instalei
em um firewall, então ficou assim:
#ALLOWED="$ALLOWED httpd:{80,443}:{apache,root}"
#ALLOWED="$ALLOWED mysqld:3306:mysql"
#ALLOWED="$ALLOWED named:53:named"
ALLOWED="$ALLOWED postfix:25:postfix"
#ALLOWED="$ALLOWED ftpd:21:!@any@!"
ALLOWED="$ALLOWED sshd:22:root"
ALLOWED="$ALLOWED master:25:root"
#ALLOWED="$ALLOWED xinetd:113:root"
Eu comentei todas as outras e deixei somente o ssh e o postfix.
No ssh eu mudei o final e deixei como root e não mais como sshd, pois meu ssh roda como root.
No postfix eu alterei a linha ALLOWED="$ALLOWED sendmail:25:mail" deixando assim:
ALLOWED="$ALLOWED postfix:25:postfix"
e adicionei a linha:
ALLOWED="$ALLOWED master:25:root"
Como podemos ver, a configuração é bem simples, agora vamos para a ultima variável:
LSOF_MD5="00000000000000000000000000000000"
Esta variável vem assim por padrão, precisamos alterar esta linha e adicionar o md5sum do binário lsof nela. Podemos fazer assim:
$ whereis lsof
lsof: /usr/bin/lsof /usr/sbin/lsof /usr/share/man/man8/lsof.8.gz
$ md5sum /usr/bin/lsof
44323131e794221f135f7356ce75e5cd /usr/bin/lsof
Bom...este foi o retorno do meu comando md5sum, agora vamos adicionar este valor na variável LSOF_MD5, ficando assim:
LSOF_MD5="44323131e794221f135f7356ce75e5cd"
Agora salve o arquivo e saia.
Vamos adicionar o trojan-scan no nosso crontab:
# crontab -e
Agora adicione esta linha dentro dele:
*/5 * * * * /usr/local/sbin/trojan-scan.sh -F
Salve e saia.