Detectando possíveis trojans e lkms em seu servidor

Neste artigo vamos conhecer o trojan-scan, um software criado para detectar qualquer processo que venha ficar em modo listen em nosso sistema e assim, enviar um e-mail para o administrador para notificá-lo de que há um daemon não autorizado rodando no servidor.

[ Hits: 28.469 ]

Por: Bruno em 14/10/2005


Configurando o trojan-scan



Para configuração vamos até o diretório /etc/trojan-scan, lá encontraremos o arquivo a seguir:

# cd /etc/trojan-scan
# ls -l

-rw-r--r--   1 root root 1628 2005-10-07 11:21 trojan-scan.conf

Vamos editar este arquivo:

# vi trojan-scan.conf

Vamos mudar as variáveis:

RECIPIENTS="[email protected]"

Coloque nesta variável seu e-mail.

SUBJECT="[`hostname -s`] Trojan scanner report"

Esta variável se refere ao assunto que será enviado junto a mensagem, você pode alterar se quiser e deixar algo como "ALERTA!!! TROJAN".

ALLOWED="$ALLOWED httpd:{80,443}:{apache,root}"
ALLOWED="$ALLOWED mysqld:3306:mysql"
ALLOWED="$ALLOWED named:53:named"
ALLOWED="$ALLOWED sendmail:25:mail"
ALLOWED="$ALLOWED ftpd:21:[email protected]@!"
ALLOWED="$ALLOWED sshd:22:sshd"
ALLOWED="$ALLOWED xinetd:113:root"

Estas variáveis se referem a quais daemons ele não vai checar, no exemplo acima, estas variáveis vem por padrão, no meu caso, eu instalei em um firewall, então ficou assim:

#ALLOWED="$ALLOWED httpd:{80,443}:{apache,root}"
#ALLOWED="$ALLOWED mysqld:3306:mysql"
#ALLOWED="$ALLOWED named:53:named"
ALLOWED="$ALLOWED postfix:25:postfix"
#ALLOWED="$ALLOWED ftpd:21:[email protected]@!"
ALLOWED="$ALLOWED sshd:22:root"
ALLOWED="$ALLOWED master:25:root"
#ALLOWED="$ALLOWED xinetd:113:root"

Eu comentei todas as outras e deixei somente o ssh e o postfix.

No ssh eu mudei o final e deixei como root e não mais como sshd, pois meu ssh roda como root.

No postfix eu alterei a linha ALLOWED="$ALLOWED sendmail:25:mail" deixando assim:

ALLOWED="$ALLOWED postfix:25:postfix"

e adicionei a linha:

ALLOWED="$ALLOWED master:25:root"

Como podemos ver, a configuração é bem simples, agora vamos para a ultima variável:

LSOF_MD5="00000000000000000000000000000000"

Esta variável vem assim por padrão, precisamos alterar esta linha e adicionar o md5sum do binário lsof nela. Podemos fazer assim:

$ whereis lsof
lsof: /usr/bin/lsof /usr/sbin/lsof /usr/share/man/man8/lsof.8.gz

$ md5sum /usr/bin/lsof
44323131e794221f135f7356ce75e5cd /usr/bin/lsof

Bom...este foi o retorno do meu comando md5sum, agora vamos adicionar este valor na variável LSOF_MD5, ficando assim:

LSOF_MD5="44323131e794221f135f7356ce75e5cd"

Agora salve o arquivo e saia.

Vamos adicionar o trojan-scan no nosso crontab:

# crontab -e

Agora adicione esta linha dentro dele:

*/5 * * * * /usr/local/sbin/trojan-scan.sh -F

Salve e saia.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Configurando o trojan-scan
   3. Testando o trojan-scan
   4. Considerações finais
Outros artigos deste autor

Alta disponibilidade de links

POP3 gateway com fetchmail

Leitura recomendada

SECtool - Análise Local para Linux

Como configurar um IPTABLES simples e seguro no Slackware!

Melhorias generalizadas de segurança (parte 2)

Atirando o pau no gato com Metasploit

Nmap - Comandos úteis para um administrador de sistemas Linux

  
Comentários
[1] Comentário enviado por brunocontin em 15/10/2005 - 10:44h

Parcero isso serviria para uma rede que tem muitas estações linux, ele podeira monitorar essas estações, se eu tivesse um servidor linux ( internet ) rodando.?

[2] Comentário enviado por chroot em 15/10/2005 - 12:57h

sim..sem problemas

[3] Comentário enviado por leoberbert em 15/10/2005 - 15:43h

Um belo trabalho abortado neste artigo, meus parabens.

So gostaria de saber se ele funcionaria com estacoes Windows tb?

abraços!

[4] Comentário enviado por removido em 15/10/2005 - 19:55h

Ele parece um mini firewall interativo. Seu artigo foi muito bem escrito parabéns!

[5] Comentário enviado por removido em 16/10/2005 - 14:07h

Eu gostaria de parabeniza-lo por este artigo e dizer que nos precisamos nos proteger e para aqueles que não tem tanto tempo de descobrir, posiveis falhas no sistema, que participem e leiam os artigos, pois estão sendo muito bem apresentados.

[6] Comentário enviado por chroot em 16/10/2005 - 20:25h

Obrigado!

[7] Comentário enviado por kaink em 17/10/2005 - 10:05h

valeu !!!excelente artigos !!

[8] Comentário enviado por franzejr em 17/10/2005 - 18:26h

Muito bom!!

[9] Comentário enviado por m_santos em 18/10/2005 - 21:46h

Parabéns! Excelente artigo!

Gostaria de saber com quais distros/versão_kernel funciona??

[10] Comentário enviado por chroot em 19/10/2005 - 09:47h

qualquer distro, e kernel 2.4x 2.5x e 2.6x

[11] Comentário enviado por pollontechnology em 18/01/2007 - 10:59h

olá pessoal estou chegando agora....

belo artigo !!! Gostaria de saber se funciona com a distribuição redhat 9 ????

abraços
obrigado

[12] Comentário enviado por chroot em 18/01/2007 - 11:17h

funciona sem problemas em RH9


Contribuir com comentário