Detectando possíveis trojans e lkms em seu servidor
Neste artigo vamos conhecer o trojan-scan, um software criado para detectar qualquer processo que venha ficar em modo listen em nosso sistema e assim, enviar um e-mail para o administrador para notificá-lo de que há um daemon não autorizado rodando no servidor.
Introdução
O objetivo neste artigo é montar um sistema de monitoração de processos locais em um servidor, pois quando houver algum processo que não esteja autorizado no arquivo de configuração do trojan-scan, ele informa o administrador sobre tal evento, podendo assim, tomar uma ação mais eficiente caso alguma backdoor for instalada no servidor e levantar uma porta alta.
OBS: Para a instalação e utilização do PSAD estou levando em consideração que o leitor possua conhecimentos prévios em manipulação de arquivos compactados (.tar.gz).
Sistema Operacional: Debian Stable 3.1
Primeiramente instale o lsof:
# apt-get install lsof
Agora vamos fazer download do trojan-scanHomepage:
# wget http://www.derks.it/trojan-scan-1.2.tgz
Agora vamos descompactar:
# tar zxvf trojan-scan-1.2.tgz
Ele irá descompactar 2 arquivos:
# mkdir /etc/trojan-scan
# cp trojan-scan.conf /etc
Agora copie o trojan-scan.sh para /usr/local/sbin/:
# cp trojan-scan.sh /usr/local/sbin/
Instalação do trojan-scan
OBS: Para a instalação e utilização do PSAD estou levando em consideração que o leitor possua conhecimentos prévios em manipulação de arquivos compactados (.tar.gz).
Sistema Operacional: Debian Stable 3.1
Primeiramente instale o lsof:
# apt-get install lsof
Agora vamos fazer download do trojan-scanHomepage:
# wget http://www.derks.it/trojan-scan-1.2.tgz
Agora vamos descompactar:
# tar zxvf trojan-scan-1.2.tgz
Ele irá descompactar 2 arquivos:
- trojan-scan.conf
- trojan-scan.sh
# mkdir /etc/trojan-scan
# cp trojan-scan.conf /etc
Agora copie o trojan-scan.sh para /usr/local/sbin/:
# cp trojan-scan.sh /usr/local/sbin/