Linux virusirtó!

Security-all

Hali!
Egy olyan kérdésem lenne milyen virsusirtót rakjak fel Debián alapú webszerverre.
A fő feladata az lenne hogy a fent lévő oldalakat ellenőrizze, ha valamiket feltörik és felraknak rá valami scriptet lehetőleg megfogja.(Sajnos ez elég gyakran megesik :( ) Jelenleg Clamav fut a serveren de még a legalapvetőbb c99 r57 stb. shell scripteket sem fogja meg! Ugyan találtam valami olyat, hogy clamav "unofficial signatures". De sajnos az oldal már nem üzemel.
Windowsos rendszeremen Avirát használok és ezen oldalak többségénél vírusként azonosította azt amit kellet. Így gondolkozom rajt, hogy esetleg a webszerverre is ezt telepítek. Valakinek van tapasztalata Aviráról és a linuxról vagy tud valami jól működő alternatívát??

Előre is kösz:
m0rph3us

  • 4997 megtekintés

( sj | 2008. 12. 23., k – 23:33 )

Imho inkabb magat a feltorest kellene megakadalyozni, pl. megfelelo jelszo policy-val, ftp hozzaferes korlatozasaval, stb.

SPAMtelenul - POP3 spamszuro szolgaltatas

Hiába korlátozok ftp-t, vagy jelszó policyt. Elég ha valamelyik user felrak egy Joomlát. Kijön az exploit és már fel is törték az oldalt.
És magával a joomla segítségével felrakták amit akartak.
Különben a logokban nem találtam semmit ami arra utalna, hogy valaki bruteforce-olt volna bármit a szerveren. Én azt is el tudom képzelni hogy a user gépére felment valami trójai és megszerezte a jelszavait és úgy jutott be a szerverre.
Szóval a hangsúlyt jelen esetben arra kell fektetni ha már bent van akkor időben észrevenni!

Ok, ertem. A legjobb egy olyan megoldas lenne, ami a dazuko-t hasznal. A clamav tud ilyet, csak ezek szerint nem ismeri fel a felpakolt sittet. De Linuxra elerheto meg a NOD32, a McAfee scan-je, avast! es meg az F-PROT-nak is van valami cmdline av-kergetoje. Probald ki ezeket, es valaszd azt, amelyik felismeri a kartekony cuccot.

SPAMtelenul - POP3 spamszuro szolgaltatas

A kérdésem épp az, hogy van e valakinek tapasztalata ezekkel a vírusirtókkal (pl Avira) linuxos környezetben. Mert tudom, hogy windows alatt jól működik, de ez nem jelenti azt hogy linux alatt is elég gyors. Ráadásul web szerverre szeretném telepíteni, és ott nagyon nem mindegy hogy mennyire foglalja le az erőforrásokat! És nem biztos hogy ott szívesen tesztelgetném, a saját gépen meg nem ugyan az futtatni!

oldal!= szerver.. Amúgy meg ha te egy sima webszervert üzemeltetsz, de az oldalt nem te, hanem mondjuk egy ügyfél tölti fel, akkor hogyan bizonyosodsz meg róla, hogy a nem te általad készített / auditált kód törhető e, és hogy nem e kerülte el valami a figyelmedet?
Ráadásul ahogy nézem a kollégának pont a gyakorlati tapasztaltok kellenének ( ki mit javasol ) de afelől eddig senki nem írt hozzá semmit :)
Amit részemről érdemben hozzáfűznék: anno mi a Kaspersky termékeit használtuk ilyen célra, igaz mi Samba szerveren ( ott is a belső hálózatot kellett védeni a userek hülyesége ellen ). Egyetlen hátránya, hogy kicsit hajlamos gyakran és sokat frissíteni, így egy normális netvonal kell neki, meg a vasat se árt túlméretezni, viszont nagyon durván képes volt megfogni, és hiba esetén az eredeti állapotba vissza is állítani egy fertőzött file-t.
Ez mellett mi még az alap rendszer file-jait monitoroztuk tripwire-al, illetve most már az apparmort is bevetném, ha még mindig ott dolgoznék :)
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

De meg mindig nem erted...Ahogy kivetem amit irt abbol nekem az jon le hogy egy probal uzemeltetni...Nemtom de nekem se,hogy nem jon a kepbe a virusirto tema...
Apache , PHP , Grsec , SELinux, Chroot kb ezzek a fogalmak hianyoznak...De semmi gond a VIRUSIRTO SEGIT!
--
1 leszel vagy 0 élő vagy hulla!

Szerintem elbeszélünk egymás mellett.. Az amiket mondasz tényleg mind hasznosak, sőt ajánlatosak, hogy normálisan be legyen lőve egy webszerver, el legyenek szeparálva egymástól a service-ok, megfelelő jogosultságokkal menjenek a dolgok, és azok se tudjanak csak úgy a rendszeren mászkálni. DE.. Ahogy én kivettem ( fixme ) m0rph3us hozzászólásából az igényeket ő azt akarja, hogy ha bejutott egy oldalra bármiféle worm, káros JS kód, vagy akármi, akkor az ne tudjon ott maradni és tevékenykedni ( azon a határon belül, amit a rendszer még enged neki ) hanem el szeretné vágni ezt a lehetőséget is a támadók elől ( ez persze még nem akadályoz meg egy SQL Injectiont, vagy bármiféle lekérdezést, de abban segít, hogy mondjuk ne legyen olyan egyszerű kijönni a www jogai alól mondjuk egy local exploittal ( amit szintén megfogna a vírusirtó optimális esetben ),vagy a már említett c99 shellel))
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

mod_security-vel igaz régen volt dolgom, de akkor még elég bugos volt az is ( és abból is ki lehetett törni ). suexec nem rossz 5let, de azzal még mindig nem kerülöd el, hogy ha egy kód injektálódik az oldalba, akkor az ne legyen terjesztő ( ergó aki meglátogatja, és van akkora marha, hogy lyukas böngészőt használ akkor azt is megfertőzze ), mivel számolni kell azzal is, hogy nem szükségszerűen a szerver maga a célpont..
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Bocsáss meg, de security-ről beszélünk :))
Tény, hogy egy szolgáltatás felállításakor sokat kell gondolkodni már a tervezésnél, hogy mire akarja az ember használni, mit és hogyan valósítson meg, és mindezt hogyan és milyen biztonsági szint mellett.. Ha ebbe a specifikációba belekerül, hogy márpedig kell víruskergető, akkor számolni kell vele, hogy annak is lesz egy erőforrás igénye, úgy ahogy minden másnak is, amit a rendszerre felraksz ( most, hogy biztonságot fokozó tényező e, vagy sem az ilyen szempontból mind1 ). És ráadásul itt még nem is beszéltünk magas rendelkezésre állásról ( HA ), osztott erőforrásokról, és még jó pár mindenről ami szintén erőforrás zabáló tud lenni..
Ráadásul pont a security az ahol elvileg az embernek nem kéne semmit se félvállról vennie, mivel ha csak egy olyan lyukat is hagy a rendszerében, amit megtalálhat egy támadó, azzal már is egy olyan pontot ad a támadó kezébe, ami révén akár a többi védelmet is felboríthatja ( extrém eset való igaz, de nem elképzelhetetlen ).
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Köszi a sok hozzászólást. Természetesen mod-security is van fent. PHP globals is ahol lehet ki van lőve, safemode is on.
De pont azzal akarunk valamit kezdeni ha feltörik a user oldalát és különböző scripteket felraknak az indexeikbe. Mert jelen pillanatban mi csak akkor vesszük észre ha a user szól hogy "firefoxban valami piros jelenik meg mit csináltunk". Akkor megnézzük az oldalt és google-ék blokkolták mert valami trójai féleség van fent. Vagy pedig a cert ír hogy valaki phisingeli egy bank oldalát. És akkor sokkal több az adminisztratív gond, mintha a virusirtó szól mielőtt blokkolnák az oldalt, vagy a hacker felrakja a phisingelt oldalt.
Tényleg ha már szóba jött a modsecurity, nem tud valaki gyakran frissülő jól használható rule-okat honnan lehetne leszedni? (persze én is rakok bele rule-okat, de azért annyira nem vagyok naprakész, hogy mindent lefedjek. )

+1

Nem is olyan ritka dolog, hogy pont a virusirtok maguk okoznak komoly biztonsagi problemat egy egyebkent jol belott rendszerben.

Szerintem egyreszt mod_security javasolt (azzal a mezei webes exploitok nagy resze megfoghato), masreszt meg hogy keszuljon log az ftp-s belepesekrol/muveletekrol, es ezt a juzer lassa/kapja meg emailben, plusz ez egy joliranyzott perl scripttel osszevetheto az access loggal, es a rendszeresen futo aide-check eredmenyevel.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

( skynetpro | 2008. 12. 26., p – 00:39 )

bastille-lal kapcsolatban tapasztalatok?