Detectando possíveis trojans e lkms em seu servidor

Neste artigo vamos conhecer o trojan-scan, um software criado para detectar qualquer processo que venha ficar em modo listen em nosso sistema e assim, enviar um e-mail para o administrador para notificá-lo de que há um daemon não autorizado rodando no servidor.

[ Hits: 28.465 ]

Por: Bruno em 14/10/2005


Testando o trojan-scan



Agora que já configuramos basicamente o trojan-scan, vamos testá-lo.

Vou levantar o inetd, pois não liberei ele no arquivo de configuração, logo, qualquer processo que subir que não esteja no meu arquivo de configuração, o trojan-scan vai me avisar.

# /etc/init.d/inetd start

Agora vamos verificar nosso e-mail:
De: 	root <[email protected]>
Para: 	[email protected]
Assunto: 	[firewall] Trojan scanner report 2005/Out/07 12:21
Data: 	Fri,  7 Oct 2005 12:21:23 -0300 (BRT)

The following (probable) trojans where found:

UNKNOWN:        /usr/sbin/inetd (inetd:113:root)

ls:   -rwxr-xr-x  1 root root 20216 2004-10-24 13:28 /usr/sbin/inetd*
ps:   root     10752     1  0 12:20 ?        00:00:00 /usr/sbin/inetd
lsof:
COMMAND   PID USER   FD   TYPE DEVICE    SIZE NODE NAME
inetd   10752 root  cwd    DIR    8,2     536    2 /
inetd   10752 root  rtd    DIR    8,2     536    2 /
inetd   10752 root  txt    REG    8,8   20216 3830 /usr/sbin/inetd
inetd   10752 root  mem    REG    8,2   90248 6200 /lib/ld-2.3.2.so
inetd   10752 root  mem    REG    8,2 1244688 6203 /lib/libc-2.3.2.so
inetd   10752 root  mem    REG    8,2   34520 6211 /lib/libnss_files-2.3.2.so
inetd   10752 root    0u   CHR    1,3          406 /dev/null
inetd   10752 root    1u   CHR    1,3          406 /dev/null
inetd   10752 root    2u   CHR    1,3          406 /dev/null
inetd   10752 root    4u  IPv4  86201          TCP *:auth (LISTEN)

BINGO!!

Nosso sistema detectou a porta 113 listen e nos avisou via e-mail.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Configurando o trojan-scan
   3. Testando o trojan-scan
   4. Considerações finais
Outros artigos deste autor

POP3 gateway com fetchmail

Alta disponibilidade de links

Leitura recomendada

Implementando uma política de segurança eficaz

Computação de alto desempenho

Aplicação do firmware intel-microcode no Slackware

Blindando sua rede com o HLBR - Um IPS invisível e brasileiro

Certificados e OpenSSL - A Sopa de Letras

  
Comentários
[1] Comentário enviado por brunocontin em 15/10/2005 - 10:44h

Parcero isso serviria para uma rede que tem muitas estações linux, ele podeira monitorar essas estações, se eu tivesse um servidor linux ( internet ) rodando.?

[2] Comentário enviado por chroot em 15/10/2005 - 12:57h

sim..sem problemas

[3] Comentário enviado por leoberbert em 15/10/2005 - 15:43h

Um belo trabalho abortado neste artigo, meus parabens.

So gostaria de saber se ele funcionaria com estacoes Windows tb?

abraços!

[4] Comentário enviado por removido em 15/10/2005 - 19:55h

Ele parece um mini firewall interativo. Seu artigo foi muito bem escrito parabéns!

[5] Comentário enviado por removido em 16/10/2005 - 14:07h

Eu gostaria de parabeniza-lo por este artigo e dizer que nos precisamos nos proteger e para aqueles que não tem tanto tempo de descobrir, posiveis falhas no sistema, que participem e leiam os artigos, pois estão sendo muito bem apresentados.

[6] Comentário enviado por chroot em 16/10/2005 - 20:25h

Obrigado!

[7] Comentário enviado por kaink em 17/10/2005 - 10:05h

valeu !!!excelente artigos !!

[8] Comentário enviado por franzejr em 17/10/2005 - 18:26h

Muito bom!!

[9] Comentário enviado por m_santos em 18/10/2005 - 21:46h

Parabéns! Excelente artigo!

Gostaria de saber com quais distros/versão_kernel funciona??

[10] Comentário enviado por chroot em 19/10/2005 - 09:47h

qualquer distro, e kernel 2.4x 2.5x e 2.6x

[11] Comentário enviado por pollontechnology em 18/01/2007 - 10:59h

olá pessoal estou chegando agora....

belo artigo !!! Gostaria de saber se funciona com a distribuição redhat 9 ????

abraços
obrigado

[12] Comentário enviado por chroot em 18/01/2007 - 11:17h

funciona sem problemas em RH9


Contribuir com comentário