Nagios - Automatizando Auditorias de Rootkit

joaocpimenta

Auditoria de rootkits, normalmente, é um processo que exige tempo, interação, documentação e trabalho repetitivo. Na maioria dos casos, os servidores são auditados através de scripts dos quais geram logs e precisam ser interpretados por um analista. Com este artigo, pretendo apresentar uma maneira de automatizar esse processo através do Nagios, gerando alertas conforme ameaças são encontradas.

[ Hits: 13.169 ]

Por: Joao Carlos Pimenta em 24/06/2013 | Blog: https://twitter.com/joaocpimenta

0 0

Denuncie Favoritos Indicar Impressora

Suprimindo warnings e mostrando somente criticals no monitor

Caso não deseje que o Warning seja constantemente apresentado no monitor do Nagios, basta alterar o script check_rootkit dos hosts, para que gerem alertas somente com reports críticos.

Alterando o exit da linha 71 para o valor 0, ficando da seguinte forma:

Securitydata=`sudo rkhunter --quiet --check 2>&1`
   status=$?
   if test "$1" = "-v" -o "$1" = "--verbose"; then
      echo ${Securitydata}
   fi
   if test ${status} -eq 127; then
      echo "root kit hunter UNKNOWN - command not found (did you install it?)"
      exit -1
   elif test ${status} -ne 0 ; then
      echo "WARNING - rkhunter returned state $status"
      exit 0
   fi
   if echo ${Securitydata} | egrep infected > /dev/null; then
      echo rkhunter CRITICAL - Infection detected!
      exit 2
   else
      echo Security ok
      exit 0
   fi

Conclusão

Bom pessoal, com esse artigo espero que vocês poupem tempo e paciência nas auditorias de rootkit.

Página anterior

Páginas do artigo

   1. Premissas / rkhunter / check_rootkit
   2. Configurações
   3. Suprimindo warnings e mostrando somente criticals no monitor

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

TrueCrypt Forever

Servidor SSH (Secure Shell Hosting)

Analisando arquivos de registro (log)

Explorando celulares Android via Web com airbase-ng

Introdução a criptografia

Comentários

[1] Comentário enviado por silent-man em 24/06/2013 - 08:36h

Excelente, parabéns!!!

0 0

[2] Comentário enviado por joaocpimenta em 25/06/2013 - 12:55h

Obrigado Gleison!

0 0

[3] Comentário enviado por Tacioandrade em 26/06/2013 - 02:20h

João parabéns pelo artigo realmente ficou muito bom mesmo. =)

Aproveitando o artigo, você conhece algum material sobre a utlização do Nagios para me indicar? encontro na internet MUITO material sobre a instalação e configuração dele e do Zabbix, porem muito pouco sobre sua utilização (e o mesmo não é tão amigável quanto outras soluções do mercado).

Caso saiba de algum material bom (de preferência em português), agradeceria muito a indicação. =D

0 0

[4] Comentário enviado por joaocpimenta em 26/06/2013 - 10:01h

[3] Comentário enviado por Tacioandrade em 26/06/2013 - 02:20h:

João parabéns pelo artigo realmente ficou muito bom mesmo. =)

Aproveitando o artigo, você conhece algum material sobre a utlização do Nagios para me indicar? encontro na internet MUITO material sobre a instalação e configuração dele e do Zabbix, porem muito pouco sobre sua utilização (e o mesmo não é tão amigável quanto outras soluções do mercado).

Caso saiba de algum material bom (de preferência em português), agradeceria muito a indicação. =D

Opa Tácio, obrigado!

O material mais completo é sem dúvida a documentação oficial que está muito bem organizada e em inglês. (http://www.nagios.org/documentation)

Em português você encontrará bastante sobre administração, configuração e até how-tos no http://nagios-br.com/

0 0

[5] Comentário enviado por Tacioandrade em 26/06/2013 - 11:36h

Valeu mesmo pela dica do nagios-br.com não conhecia esse site. =) Sobre a documentação oficial eu tinha dado uma lida, porem achei meio "pesada" demais a leitura dele, porem depois irei dar uma outra olhada com mais calma e ver se consigo compreender melhor (meu inglês é só para leitura mesmo e meio fraco. =/).

0 0