Detectando possíveis trojans e lkms em seu servidor

chroot

Neste artigo vamos conhecer o trojan-scan, um software criado para detectar qualquer processo que venha ficar em modo listen em nosso sistema e assim, enviar um e-mail para o administrador para notificá-lo de que há um daemon não autorizado rodando no servidor.

[ Hits: 30.278 ]

Por: Bruno em 14/10/2005

0 0

Denuncie Favoritos Indicar Impressora

Testando o trojan-scan

Agora que já configuramos basicamente o trojan-scan, vamos testá-lo.

Vou levantar o inetd, pois não liberei ele no arquivo de configuração, logo, qualquer processo que subir que não esteja no meu arquivo de configuração, o trojan-scan vai me avisar.

# /etc/init.d/inetd start

Agora vamos verificar nosso e-mail:

De: 	root <root@server>
Para: 	security@security.com
Assunto: 	[firewall] Trojan scanner report 2005/Out/07 12:21
Data: 	Fri,  7 Oct 2005 12:21:23 -0300 (BRT)

The following (probable) trojans where found:

UNKNOWN:        /usr/sbin/inetd (inetd:113:root)

ls:   -rwxr-xr-x  1 root root 20216 2004-10-24 13:28 /usr/sbin/inetd*
ps:   root     10752     1  0 12:20 ?        00:00:00 /usr/sbin/inetd
lsof:
COMMAND   PID USER   FD   TYPE DEVICE    SIZE NODE NAME
inetd   10752 root  cwd    DIR    8,2     536    2 /
inetd   10752 root  rtd    DIR    8,2     536    2 /
inetd   10752 root  txt    REG    8,8   20216 3830 /usr/sbin/inetd
inetd   10752 root  mem    REG    8,2   90248 6200 /lib/ld-2.3.2.so
inetd   10752 root  mem    REG    8,2 1244688 6203 /lib/libc-2.3.2.so
inetd   10752 root  mem    REG    8,2   34520 6211 /lib/libnss_files-2.3.2.so
inetd   10752 root    0u   CHR    1,3          406 /dev/null
inetd   10752 root    1u   CHR    1,3          406 /dev/null
inetd   10752 root    2u   CHR    1,3          406 /dev/null
inetd   10752 root    4u  IPv4  86201          TCP *:auth (LISTEN)

BINGO!!

Nosso sistema detectou a porta 113 listen e nos avisou via e-mail.

Página anterior Próxima página

Páginas do artigo

   1. Introdução
   2. Configurando o trojan-scan
   3. Testando o trojan-scan
   4. Considerações finais

Outros artigos deste autor

POP3 gateway com fetchmail

Alta disponibilidade de links

Leitura recomendada

Personalizando o HLBR - IPS invisível

Enganando invasores com Honeyperl

Como saber se houve uma invasão

Utilização Segura do SSH

Segurança extrema com LIDS: novos recursos

Comentários

[1] Comentário enviado por brunocontin em 15/10/2005 - 10:44h

Parcero isso serviria para uma rede que tem muitas estações linux, ele podeira monitorar essas estações, se eu tivesse um servidor linux ( internet ) rodando.?

0 0

[2] Comentário enviado por chroot em 15/10/2005 - 12:57h

sim..sem problemas

0 0

[3] Comentário enviado por leoberbert em 15/10/2005 - 15:43h

Um belo trabalho abortado neste artigo, meus parabens.

So gostaria de saber se ele funcionaria com estacoes Windows tb?

abraços!

0 0

[4] Comentário enviado por removido em 15/10/2005 - 19:55h

Ele parece um mini firewall interativo. Seu artigo foi muito bem escrito parabéns!

0 0

[5] Comentário enviado por removido em 16/10/2005 - 14:07h

Eu gostaria de parabeniza-lo por este artigo e dizer que nos precisamos nos proteger e para aqueles que não tem tanto tempo de descobrir, posiveis falhas no sistema, que participem e leiam os artigos, pois estão sendo muito bem apresentados.

0 0

[6] Comentário enviado por chroot em 16/10/2005 - 20:25h

Obrigado!

0 0

[7] Comentário enviado por kaink em 17/10/2005 - 10:05h

valeu !!!excelente artigos !!

0 0

[8] Comentário enviado por franzejr em 17/10/2005 - 18:26h

Muito bom!!

0 0

[9] Comentário enviado por m_santos em 18/10/2005 - 21:46h

Parabéns! Excelente artigo!

Gostaria de saber com quais distros/versão_kernel funciona??

0 0

[10] Comentário enviado por chroot em 19/10/2005 - 09:47h

qualquer distro, e kernel 2.4x 2.5x e 2.6x

0 0

[11] Comentário enviado por pollontechnology em 18/01/2007 - 10:59h

olá pessoal estou chegando agora....

belo artigo !!! Gostaria de saber se funciona com a distribuição redhat 9 ????

abraços
obrigado

0 0