Detectando possíveis trojans e lkms em seu servidor

chroot

Neste artigo vamos conhecer o trojan-scan, um software criado para detectar qualquer processo que venha ficar em modo listen em nosso sistema e assim, enviar um e-mail para o administrador para notificá-lo de que há um daemon não autorizado rodando no servidor.

[ Hits: 29.968 ]

Por: Bruno em 14/10/2005

0 0

Denuncie Favoritos Indicar Impressora

Testando o trojan-scan

Agora que já configuramos basicamente o trojan-scan, vamos testá-lo.

Vou levantar o inetd, pois não liberei ele no arquivo de configuração, logo, qualquer processo que subir que não esteja no meu arquivo de configuração, o trojan-scan vai me avisar.

# /etc/init.d/inetd start

Agora vamos verificar nosso e-mail:

De: 	root <root@server>
Para: 	security@security.com
Assunto: 	[firewall] Trojan scanner report 2005/Out/07 12:21
Data: 	Fri,  7 Oct 2005 12:21:23 -0300 (BRT)

The following (probable) trojans where found:

UNKNOWN:        /usr/sbin/inetd (inetd:113:root)

ls:   -rwxr-xr-x  1 root root 20216 2004-10-24 13:28 /usr/sbin/inetd*
ps:   root     10752     1  0 12:20 ?        00:00:00 /usr/sbin/inetd
lsof:
COMMAND   PID USER   FD   TYPE DEVICE    SIZE NODE NAME
inetd   10752 root  cwd    DIR    8,2     536    2 /
inetd   10752 root  rtd    DIR    8,2     536    2 /
inetd   10752 root  txt    REG    8,8   20216 3830 /usr/sbin/inetd
inetd   10752 root  mem    REG    8,2   90248 6200 /lib/ld-2.3.2.so
inetd   10752 root  mem    REG    8,2 1244688 6203 /lib/libc-2.3.2.so
inetd   10752 root  mem    REG    8,2   34520 6211 /lib/libnss_files-2.3.2.so
inetd   10752 root    0u   CHR    1,3          406 /dev/null
inetd   10752 root    1u   CHR    1,3          406 /dev/null
inetd   10752 root    2u   CHR    1,3          406 /dev/null
inetd   10752 root    4u  IPv4  86201          TCP *:auth (LISTEN)

BINGO!!

Nosso sistema detectou a porta 113 listen e nos avisou via e-mail.

Página anterior Próxima página

Páginas do artigo

   1. Introdução
   2. Configurando o trojan-scan
   3. Testando o trojan-scan
   4. Considerações finais

Outros artigos deste autor

Alta disponibilidade de links

POP3 gateway com fetchmail

Leitura recomendada

Segurança da Informação na Internet

Bloqueio de Países com IPTables

Mecanismo de firewall e seus conceitos

Configuração "automágica" de servidor Linux PDC Samba

Criando senhas seguras com o mkpasswd

Comentários

[1] Comentário enviado por brunocontin em 15/10/2005 - 10:44h

Parcero isso serviria para uma rede que tem muitas estações linux, ele podeira monitorar essas estações, se eu tivesse um servidor linux ( internet ) rodando.?

0 0

[2] Comentário enviado por chroot em 15/10/2005 - 12:57h

sim..sem problemas

0 0

[3] Comentário enviado por leoberbert em 15/10/2005 - 15:43h

Um belo trabalho abortado neste artigo, meus parabens.

So gostaria de saber se ele funcionaria com estacoes Windows tb?

abraços!

0 0

[4] Comentário enviado por removido em 15/10/2005 - 19:55h

Ele parece um mini firewall interativo. Seu artigo foi muito bem escrito parabéns!

0 0

[5] Comentário enviado por removido em 16/10/2005 - 14:07h

Eu gostaria de parabeniza-lo por este artigo e dizer que nos precisamos nos proteger e para aqueles que não tem tanto tempo de descobrir, posiveis falhas no sistema, que participem e leiam os artigos, pois estão sendo muito bem apresentados.

0 0

[6] Comentário enviado por chroot em 16/10/2005 - 20:25h

Obrigado!

0 0

[7] Comentário enviado por kaink em 17/10/2005 - 10:05h

valeu !!!excelente artigos !!

0 0

[8] Comentário enviado por franzejr em 17/10/2005 - 18:26h

Muito bom!!

0 0

[9] Comentário enviado por m_santos em 18/10/2005 - 21:46h

Parabéns! Excelente artigo!

Gostaria de saber com quais distros/versão_kernel funciona??

0 0

[10] Comentário enviado por chroot em 19/10/2005 - 09:47h

qualquer distro, e kernel 2.4x 2.5x e 2.6x

0 0

[11] Comentário enviado por pollontechnology em 18/01/2007 - 10:59h

olá pessoal estou chegando agora....

belo artigo !!! Gostaria de saber se funciona com a distribuição redhat 9 ????

abraços
obrigado

0 0