[FUG-BR] Auditoria em diretórios FreeBSD
Boa tarde a todos, Tenho um server FBSD rodando apache e algumas aplicações PHP. Há algum tempo o site foi atacado e percebi diversos arquivos maliciosos nos diretórios da aplicação PHP. Reinstalei a aplicação, atualizei e coloquei o site no ar novamente. Agora, quero observar todas as alterações feitas no diretório da aplicação PHP para que eu possa detectar mais rapidamente o comprometimento da aplicação. Há algum tempo lembro-me de ter testado uma ferramenta nativa no FreeBSD que deixa os logs em /var/audit (se não me engano!!!), mas ele não fazia a verificação apenas de um diretório em particular. O que vocês me sugerem ? Não precisa ser um IDS complexo, apenas uma aplicação que detecta alterações apartir de um subdiretório e informa via email. Abraços, Renato - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Auditoria em diretórios FreeBSD
Renato, eu fiz um script em shell que monitora as alterações dentro do meu site, será que isso não te serve?? dá uma olhada no script http://www.adonai.eti.br/wordpress/2012/11/script-para-identificar-invasoes-em-sites/ Adonai - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Olá Adonai, Vi seu script. Parabéns! Solução criativa! Mas no meu caso, imaginando que alguém conseguiu explorar uma vulnerabilidade em um dos scripts PHP, fez download de um binario e conseguiu executar, o script não detectará o novo arquivo. Acredito que o ports deva ter algo já pronto para o que preciso. Abraços, Renato - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Auditoria em diretórios FreeBSD
Olá Carlos, Gostei do mtree, mas não entendi direito o funcionamento... Ele gera assinatura dos arquivos apartir do diretório fornecido e compara as mudanças ? Vou fazer alguns testes com ele. Renato Em 9 de fevereiro de 2013 15:41, Carlos Eduardo G. Carvalho (Cartola) cartol...@gmail.com escreveu: Dei uma olhada por alto no script Adonai. Não analisei muito, mas há muitos anos atrás, quando precisei disso, usei também o mtree. http://www.freebsd.org/cgi/man.cgi?query=mtreesektion=8 Abs, Carlos E G Carvalho (Cartola) http://cartola.org/360 http://www.panoforum.com.br/ Em 9 de fevereiro de 2013 15:29, Adonai Silveira Canez adonaica...@gmail.com escreveu: Em 9 de fevereiro de 2013 15:12, Renato Sousa renso...@gmail.com escreveu: Boa tarde a todos, Tenho um server FBSD rodando apache e algumas aplicações PHP. Há algum tempo o site foi atacado e percebi diversos arquivos maliciosos nos diretórios da aplicação PHP. Reinstalei a aplicação, atualizei e coloquei o site no ar novamente. Agora, quero observar todas as alterações feitas no diretório da aplicação PHP para que eu possa detectar mais rapidamente o comprometimento da aplicação. Há algum tempo lembro-me de ter testado uma ferramenta nativa no FreeBSD que deixa os logs em /var/audit (se não me engano!!!), mas ele não fazia a verificação apenas de um diretório em particular. O que vocês me sugerem ? Não precisa ser um IDS complexo, apenas uma aplicação que detecta alterações apartir de um subdiretório e informa via email. Abraços, Renato - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Renato, eu fiz um script em shell que monitora as alterações dentro do meu site, será que isso não te serve?? dá uma olhada no script http://www.adonai.eti.br/wordpress/2012/11/script-para-identificar-invasoes-em-sites/ Adonai - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Auditoria em diretórios FreeBSD
Oi Renato, desculpe, mas eu realmente não lembro exatamente como ele funciona, pois usei pouco e há muitos anos. O que lembro é que ele é pouco óbvio mas bom. Achei esse link aqui agora, que parece ilustrar o uso justamente para o que você quer: http://www.techrepublic.com/blog/security/use-mtree-for-filesystem-integrity-auditing/283 Abs! Carlos E G Carvalho (Cartola) http://cartola.org/360 http://www.panoforum.com.br/ Em 9 de fevereiro de 2013 15:59, Renato Sousa renso...@gmail.com escreveu: Olá Carlos, Gostei do mtree, mas não entendi direito o funcionamento... Ele gera assinatura dos arquivos apartir do diretório fornecido e compara as mudanças ? Vou fazer alguns testes com ele. Renato Em 9 de fevereiro de 2013 15:41, Carlos Eduardo G. Carvalho (Cartola) cartol...@gmail.com escreveu: Dei uma olhada por alto no script Adonai. Não analisei muito, mas há muitos anos atrás, quando precisei disso, usei também o mtree. http://www.freebsd.org/cgi/man.cgi?query=mtreesektion=8 Abs, Carlos E G Carvalho (Cartola) http://cartola.org/360 http://www.panoforum.com.br/ Em 9 de fevereiro de 2013 15:29, Adonai Silveira Canez adonaica...@gmail.com escreveu: Em 9 de fevereiro de 2013 15:12, Renato Sousa renso...@gmail.com escreveu: Boa tarde a todos, Tenho um server FBSD rodando apache e algumas aplicações PHP. Há algum tempo o site foi atacado e percebi diversos arquivos maliciosos nos diretórios da aplicação PHP. Reinstalei a aplicação, atualizei e coloquei o site no ar novamente. Agora, quero observar todas as alterações feitas no diretório da aplicação PHP para que eu possa detectar mais rapidamente o comprometimento da aplicação. Há algum tempo lembro-me de ter testado uma ferramenta nativa no FreeBSD que deixa os logs em /var/audit (se não me engano!!!), mas ele não fazia a verificação apenas de um diretório em particular. O que vocês me sugerem ? Não precisa ser um IDS complexo, apenas uma aplicação que detecta alterações apartir de um subdiretório e informa via email. Abraços, Renato - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Renato, eu fiz um script em shell que monitora as alterações dentro do meu site, será que isso não te serve?? dá uma olhada no script http://www.adonai.eti.br/wordpress/2012/11/script-para-identificar-invasoes-em-sites/ Adonai - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Auditoria em diretórios FreeBSD
Em 09/02/13 15:48, Renato Sousa escreveu: Renato, eu fiz um script em shell que monitora as alterações dentro do meu site, será que isso não te serve?? dá uma olhada no script http://www.adonai.eti.br/wordpress/2012/11/script-para-identificar-invasoes-em-sites/ Adonai - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Olá Adonai, Vi seu script. Parabéns! Solução criativa! Mas no meu caso, imaginando que alguém conseguiu explorar uma vulnerabilidade em um dos scripts PHP, fez download de um binario e conseguiu executar, o script não detectará o novo arquivo. Acredito que o ports deva ter algo já pronto para o que preciso. Renato, Você costuma fazer proteções no seu php? Você pode bloquear diversas funções no php que são perigosas e também usar carinhas como o mod_security. Um exemplo aqui de uso... dentro da configuração do site você pode usar: php_admin_value disable_functions escapeshellarg escapeshellcmd exec passthru proc_close proc_open shell_exec system dl popen php_check_syntax php_strip_whitespace symlink link openlog apache_child_terminate ini_alter parse_ini_file show_source php_admin_flag allow_url_fopen Off php_admin_value open_basedir /usr/local/www/apache22/data/pagina/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd