01 02

Auditoria de segurança

13. Re: Auditoria de segurança

Henrique-RJ
(usa Outra)

Enviado em 24/05/2024 - 22:47h

leandropscardua escreveu:

Se vc tem suspeita de invasão o momento de instalar as ferramentas já passou. Tem de instalar antes.

Para Windows, existem hoje vários antivírus com proteção proativa que tentam evitar as contaminações antes que elas aconteçam mas no Linux ainda não vi software de segurança desse tipo. Usei bastante o da Comodo no Windows que era bem eficaz nesse tipo de proteção bloqueando pra valer atividades suspeitas ou de desconhecidos. Ele me evitou umas 3 infecções, uma delas foi pelo conficker que se tornou muito conhecido na época que veio por pendrive novo comprado no comércio aqui da região.

Ontem passei o ClamAV com o ClamTK no cache do Firefox e detectou um tal de " porcupine phishing " em sites do governo tipo Correios e DETRAN. Isso por usar a lista de fontes de assinaturas adicionais fornecida pelo @Buckminster aqui do fórum senão não teria detectado.

Escaneamento feito agora:

ClamTk, v5.25
Sat May 25 00:28:01 2024
Banco de dados do ClamAV: 8709071
Diretórios Verificados:
/home/henrique/.cache/mozilla/firefox/7p142xn6.default-release/cache2/entries

Encontrado 25 possível ameaças (9545 arquivos verificado).

/home/henrique/.cache/mozilla/firefox/7p142xn6.default-release/cache2/entries/30855D93A70B16D833F5A62001FEB1D570ADFCEC Porcupine.Phishing.59531.UNOFFICIAL
/home/henrique/.cache/mozilla/firefox/7p142xn6.default-release/cache2/entries/2BC269FBD3850EBA19F197B07BEE3EDCD0F89FAD PUA.Win.Exploit.CVE_2012_1461-1
/home/henrique/.cache/mozilla/firefox/7p142xn6.default-release/cache2/entries/1E7E8798B3AAE686181E8A8F675A18DCBBCD4186 PUA.Win.Trojan.Xored-1
/home/henrique/.cache/mozilla/firefox/7p142xn6.default-release/cache2/entries/3DD8302C292F59FFB45965CF18C940884CA930C1 PUA.Win.Trojan.Xored-1
/home/henrique/.cache/mozilla/firefox/7p142xn6.default-release/cache2/entries/520F53949C87A0D0D46630AD10F08B4D52EBA15D PUA.Win.Trojan.Xored-1
/home/henrique/.cache/mozilla/firefox/7p142xn6.default-release/cache2/entries/CEAD1ECB47486E9017A7846044C75B5AD1997FEA PUA.Win.Trojan.Xored-1
/home/henrique/.cache/mozilla/firefox/7p142xn6.default-release/cache2/entries/08DEB56F39F97CA0EEED1E262240A2498A67ADB6 Sanesecurity.Foxhole.GZip_js.UNOFFICIAL
/home/henrique/.cache/mozilla/firefox/7p142xn6.default-release/cache2/entries/0F9898093CCBAFBF293D058D69CB81A45AEC93C4 Porcupine.Phishing.59531.UNOFFICIAL
/home/henrique/.cache/mozilla/firefox/7p142xn6.default-release/cache2/entries/47CB384758C3154F3BB0B0A70380CCEFF3457843 PUA.Win.Trojan.Xored-1
/home/henrique/.cache/mozilla/firefox/7p142xn6.default-release/cache2/entries/A648BC7320A8ECE6A775BB21A05AA2C96E2BEAF4 PUA.Win.Trojan.Xored-1
/home/henrique/.cache/mozilla/firefox/7p142xn6.default-release/cache2/entries/4E6AEADDE7BB8CD3D408D64FE8F00CCFF9991A07 PUA.Win.Exploit.CVE_2012_1461-1
/home/henrique/.cache/mozilla/firefox/7p142xn6.default-release/cache2/entries/A86B488F2E2E60F9FDA660EA32D63ED158F72A51 PUA.Win.Tool.Packed-177
/home/henrique/.cache/mozilla/firefox/7p142xn6.default-release/cache2/entries/8D8CF2BDE2351096DA8D6C338EE11778D94C350B Porcupine.Phishing.59531.UNOFFICIAL
/home/henrique/.cache/mozilla/firefox/7p142xn6.default-release/cache2/entries/F35FC99B263D626DC3F0BF9E8EB2A91E141864B1 Sanesecurity.Foxhole.Zip_Js_Js.UNOFFICIAL
/home/henrique/.cache/mozilla/firefox/7p142xn6.default-release/cache2/entries/FC76351AED466BFA42525001401819C7F802F344 PUA.Win.Trojan.Xored-1
/home/henrique/.cache/mozilla/firefox/7p142xn6.default-release/cache2/entries/2F342044868F9946AEAEB36A61F2ED6741247DB4 PUA.Win.Trojan.Xored-1
/home/henrique/.cache/mozilla/firefox/7p142xn6.default-release/cache2/entries/93258CCBD97F04EED952BCD121DA613EDD0C16FD PUA.Win.Trojan.Xored-1
/home/henrique/.cache/mozilla/firefox/7p142xn6.default-release/cache2/entries/9D8850CE6C246F1ACF76558EDDE25AC60D9C0C41 PUA.Win.Trojan.Xored-1
/home/henrique/.cache/mozilla/firefox/7p142xn6.default-release/cache2/entries/408B9C763DB3AA950A6D28400C210DA593F297FE PUA.Win.Trojan.Xored-1
/home/henrique/.cache/mozilla/firefox/7p142xn6.default-release/cache2/entries/40506A4C6A4A480EF0A91BEB09B5BBEB8419F2B8 Porcupine.Phishing.59531.UNOFFICIAL
/home/henrique/.cache/mozilla/firefox/7p142xn6.default-release/cache2/entries/4F36AC9F0AA33CEEC4C779E8519007CD8AE22FF3 PUA.Win.Trojan.Xored-1
/home/henrique/.cache/mozilla/firefox/7p142xn6.default-release/cache2/entries/FFA39B1B17429EB30D8054E175B4CB8C17884AEB PUA.Win.Trojan.Xored-1
/home/henrique/.cache/mozilla/firefox/7p142xn6.default-release/cache2/entries/A5782FD8AFBE8180A736554D7C681679B5E209A2 PUA.Win.Trojan.Xored-1
/home/henrique/.cache/mozilla/firefox/7p142xn6.default-release/cache2/entries/E9FE354FA13375F9940CA883EDC101637F35DF8D PUA.Win.Trojan.Xored-1
/home/henrique/.cache/mozilla/firefox/7p142xn6.default-release/cache2/entries/6C47B5AB8D2E405817CDD5574F7037C79B70B5E9 Porcupine.Phishing.59531.UNOFFICIAL
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

_______________________________________________________
E viu-se um grande sinal no céu: uma mulher vestida do sol, tendo a lua debaixo dos seus pés, e uma coroa de doze estrelas sobre a sua cabeça. Apocalipse 12:1 Nsa Sra de Fátima, Nsa Sra de Lourdes, Nsa Sra das Graças ...
_______________________________________________________
São Padre Pio de Pietrelcina, Santa Faustina Kowalska, São Francisco de Assis e Santa Gema Galgani foram alguns dos que tiveram os milagres dos Estigmas de Cristo em seus corpos, Feridas que sangravam
_______________________________________________________
Milagre Eucarístico que ocorreu em uma Igreja de Lanciano na Itália no ano de 750 em que o vinho se tornou sangue e o pão carne humana estão até hoje intactos. https://pt.wikipedia.org/wiki/Milagre_eucar%C3%ADstico_de_Lanciano

1 0

Quote

14. Re: Auditoria de segurança

Minions
(usa Nenhuma)

Enviado em 26/05/2024 - 15:52h

leandropscardua escreveu:

O lynis e o cvescan compara a versão dos aplicativos instalados com versões com vulnerabilidades cve do mitre.
O chkrootkit e o rkhunter buscam por assinaturas de rootkit e têm comando para atualizar.

O lynis tem comando para atualizar ou lynis update check ; lynis update info é só verificação?

0 0

Quote

15. Re: Auditoria de segurança

Buckminster
(usa Debian)

Enviado em 28/08/2024 - 11:50h

Coloque o ClamAV para escanear todos os dias pelo Cron.
https://www.vivaolinux.com.br/artigo/Antivirus-ClamAV-com-protecao-em-tempo-real/
https://docs.clamav.net/manual/Installing.html

Use o Iptables (eu sugiro o NFTables que é o sucessor oficial do Iptables) e o RKHunter.
https://servidordebian.org/pt/jessie/security/rootkit_detection/rkhunter
https://wiki.nftables.org/wiki-nftables/index.php/Main_Page
https://www.netfilter.org/projects/nftables/manpage.html

Utilize também o KVRT, o escaneamento terá de ser manual ou execute pelo Cron:
https://www.vivaolinux.com.br/artigo/kvrt-O-novo-antivirus-gratuito-da-Kaspersky-para-Linux/

Mantenha o sistema atualizado.

Leia as sugestões do danniel-lara para ferramentas de auditoria.

Lembrando que para servidores a segurança e a auditoria devem ser maiores do que para desktop, porém , o monitoramento deve ser constante em ambos, principalmente em servidores.

Contra invasões, para ter segurança completa, somente firewall de hardware, porém, em substituição pode implementar honeypot e redundância para proteção dos dados. Claro que, neste caso, envolve custos.

É desktop ou servidor?

_________________________________________________________
Always listen the Buck!
Enquanto o cursor estiver pulsando, há vida!

0 0

Quote

16. Re: Auditoria de segurança

Minions
(usa Nenhuma)

Enviado em 28/08/2024 - 12:50h

Buckminster escreveu:

Coloque o ClamAV para escanear todos os dias pelo Cron.
https://www.vivaolinux.com.br/artigo/Antivirus-ClamAV-com-protecao-em-tempo-real/
https://docs.clamav.net/manual/Installing.html



A CPU não vai para o /dev/null se escanear todos os dias pelo Cron? Tem muitos arquivos compactados com 15 GB para cima.

Use o Iptables (eu sugiro o NFTables que é o sucessor oficial do Iptables) e o RKHunter.
https://servidordebian.org/pt/jessie/security/rootkit_detection/rkhunter
https://wiki.nftables.org/wiki-nftables/index.php/Main_Page
https://www.netfilter.org/projects/nftables/manpage.html



As regras do NFTables é igual ao Iptables?

Utilize também o KVRT, o escaneamento terá de ser manual ou execute pelo Cron:
https://www.vivaolinux.com.br/artigo/kvrt-O-novo-antivirus-gratuito-da-Kaspersky-para-Linux/



Infelizmente a Kaspersky é uma empresa Rússia. Fogo amigo..... Seria um ritual de ocultismo no Linux que levaria o kernel para /dev/null kkkkk

Contra invasões, para ter segurança completa, somente firewall de hardware, porém, em substituição pode implementar honeypot e redundância para proteção dos dados. Claro que, neste caso, envolve custos.

É desktop ou servidor?

servidor

0 0

Quote

17. Re: Auditoria de segurança

aguamole
(usa KUbuntu)

Enviado em 28/08/2024 - 13:33h

@Minion se o clamav não pego provavelmente é porque esse malware ele foi removido das assinaturas por ele já não ser mais uma ameaça na segurança. Todos os antivírus fazem isso não é só apenas o ClamAV, não faz sentido manter assinatura de um malware que já não é mais usado para fazer ataques. Se vc quer testar se o antivirus esta funcionando é melhor usar o eicar mesmo, porque este provavelmente não será removido das assinaturas uma vez que ele é uma ferramenta de teste dos profissional de cibersegurança possa testar se o antivirus esta funcionando.

1 0

Quote

18. Re: Auditoria de segurança

Buckminster
(usa Debian)

Enviado em 28/08/2024 - 14:06h

1- "A CPU não vai para o /dev/null se escanear todos os dias pelo Cron? Tem muitos arquivos compactados com 15 GB para cima."

Exclua esses arquivos do escaneamento.
O ClamAV consome memória, mas não CPU.

2- "As regras do NFTables é igual ao Iptables?"

São diferentes, mas são compatíveis. As regras do Nftables são mais intuitivas e fáceis e a lógica é bem melhor.
O próprio Nftables tem o comando iptables-translate que transforma a regra desejada do Iptables para Nftables.
O Nftables é desenvolvido, basicamente, pela mesma equipe do Iptables da netfilter.org.
https://www.vivaolinux.com.br/artigo/Instalar-e-configurar-o-Nftables-com-exemplos-basicos-de-config...
https://intrarede.nic.br/files/apresentacao/arquivo/1679/Ferramentas_de_seguranca_que_um_administrad...
https://netfilter.org/projects/nftables/
"nftables replaces the popular {ip,ip6,arp,eb}tables."

3- "Infelizmente a Kaspersky é uma empresa Rússia. Fogo amigo..... Seria um ritual de ocultismo no Linux que levaria o kernel para /dev/null kkkkk"

Não vejo como: boa parte do código fonte é aberto e ele não é instalável, é somente executável. É um arquivo .run que você pode abrir com o vim.

#!/bin/sh
# This script was generated using Makeself 2.5.0
# The license covering this archive and its contents, if any, is wholly independent of the Makeself license (GPL)

script_path=`readlink -f "$0"`
script_name=`basename "$0"`

ORIG_UMASK=`umask`
if test "n" = n; then
umask 077
fi

CRCsum="0000000000"
MD5="00000000000000000000000000000000"
SHA="2b52119434ac2c9f54313f7d1b156e662a549a76bff2a80f16e0531a7c1b6020"
SIGNATURE=""
TMPROOT=${TMPDIR:=/tmp}
USER_PWD="$PWD"
export USER_PWD
ARCHIVE_DIR=`dirname "$0"`
export ARCHIVE_DIR

label="Kaspersky Virus Removal Tool 24.0.5.0 for Linux"
script="./kvrt_runner.sh"
scriptargs=""
cleanup_script=""
licensetxt=""
helpheader=""
targetdir=""
filesizes="150482135"
totalsize="150482135"
keep="n"
nooverwrite="y"
quiet="n"
accept="n"
allowuser=n
nodiskspace="n"
silentscan=n
export_conf="n"
decrypt_cmd=""
skip="636"
...

https://support.kaspersky.com/help/kvrt/2024/en-us/269465.htm

Pode usar até direto do pendrive e nas opções que abrem você clica em Change settings e pode escolher o que escanear, mas se tu tem esse receio, não use.
Para escaneamento da memória ele é bem útil, mas para escanear o sistema inteiro prefiro o ClamAV, mas pode usar os dois.

0 0

Quote