Identificando arquivos alterados no servidor web * nix

Question

Identificando arquivos alterados no servidor web * nix

#1 resposta do (9 votos)
#2 resposta do (7 votos)
#3 resposta do (3 votos)
#4 resposta do (1 votos)
#5 resposta do (1 votos)
#6 resposta do (0 votos)
#7 resposta do (0 votos)
#8 resposta do (0 votos)

5

Procurando por alguns softwares (* nix) que criarão um índice de arquivos "interessantes" em um servidor e notificarão quando certos conteúdos forem modificados ou novos arquivos aparecerem.

Similar a rkhunter et al, mas menos focado em binários do sistema e mais em executáveis servidos via web.

Alguma recomendação?

security rootkit linux unix exploit

por Chris Burgess 09.06.2009 / 23:29

8 respostas

9

Você pode querer olhar para o Tripwire ou AIDE

Ambos acompanharão as alterações no arquivo de configuração nas suas máquinas.

Veja também:

por 09.06.2009 / 23:38

3

Você pode tentar a estrutura inotify . Você poderia usá-lo para obter uma lista de arquivos que são relatados a você por um evento write_close. Você pode querer investigar incron ou inotify-tools (ambos vinculados a partir da página da Wikipedia).

Por outro lado, parece que o tripwire é exatamente o que você está procurando. Até onde eu saiba, você pode simplesmente definir qual arquivos para olhar. Não vejo uma razão pela qual o tripwire (que é concedido para binários do sistema em seu caso de uso básico) não seja adequado ao seu caso de uso.

por 09.06.2009 / 23:36

1

Além do AIDE e do Tripwire (já mencionados), talvez você queira conferir o Samhain .

Enquanto todos os três provavelmente são padrão para monitorar / etc e vários diretórios binários, eles podem ser configurados para monitorar praticamente qualquer coisa.

por 09.06.2009 / 23:53

1

O melhor pacote para isso é definitivamente tripwire.

Há um guia de início rápido aqui: penguinapple.blogspot.com

O guia é para o Debian, mas a seção "Configuração e Uso" deve ser muito similar para todos os * nix.

por 09.12.2010 / 03:58

0

Dê uma olhada no systraq

link

por 09.06.2009 / 23:36

0

Veja também radmind . Ele pode fazer diffs de todo o sistema de arquivos e depois desarmar ou reaplicá-los. Você pode usar os utilitários do cliente sozinhos ou usar o servidor para criar um repositório para todos os seus diffs.

link

por 10.06.2009 / 00:12

0

O CFEngine tem a capacidade de rastrear somas de verificação para arquivos arbitrários, além de gerenciar o restante de sua configuração. Eu diria que algumas das ferramentas de gerenciamento de configuração derivadas (como Puppet ou Chef) com agentes provavelmente também podem fazer algo semelhante.

link

por 15.09.2014 / 20:49

Tags security rootkit linux unix exploit

Por que os switches parcialmente com falha / falha falham ao passar o DHCP? Raiz perdida e outras senhas de usuário

score 7 · Accepted Answer

Veja OSSEC , eu o uso para fazer verificações de integridade de arquivos em nossos servidores, é muito completo e fácil de configurar. Pode enviar notificações por e-mail, você pode verificar alertas via linha de comando ou uma interface web ...

link

retirado do site:

"O OSSEC é um sistema de detecção de invasões baseado em host de código aberto. Ele realiza análise de log, verificação de integridade de arquivos, monitoramento de políticas, detecção de rootkits, alertas em tempo real e respostas ativas". >