cxs چیست و چه کاربردی دارد ؟
ConfigServer eXploit Scanner) CXS) یک ابزار پویشگر امنیتی و محصول شرکت ConfigServer است. شما با استفاده از cxsمیتوانید از اجرای فایلهای مخرب مانند شل و ابزار های هک سرور در امان باشید .
CXS مخصوص سرورهایی با سیستمعامل CentOS به همراه کنترل پنل DirectAdmin یا cPanel بوده به صورت کاملا روان و بدون ایجاد فضایی سنگین از ورود و اجرای فایلهای مخرب جلوگیری مینماید.
یکی از مهمترین ویژگیهای CXS ، قابلیتی به نام Realtime Monitoring یعنی بررسی و مانیتور لحظه به لحظه سرور است. با فعال نمودن و پیکر بندی مناسب ویژگی CXS Watch Daemon، در صورت آپلود فایل مخرب ، فایل به سرعت حذف یا قرنطینه و گزارش آن برای مدیر سرور ارسال خواهد شد.
برخی از قابلیتهای CXS :
-بررسی و مانیتور کردن لحظه به لحظه -شناسایی فایل های مخرب
-شناسایی فایل مخرب براساس نام و نوع فایل -شناسایی فایلهای باینری قابل اجرا
-شناسایی و ارسال گزارش در مورد حملات symlink -همگام سازی با آنتی ویروس قدرتمند ClamAV
-همگام سازی با فایروال CSF -آنالیز و ارسال گزارش در صورت دیدن جرکن مشکوک فایلها
-قابلیت زمان بندی اسکن فایلها -تنظیم اسکن با cron
-شناسایی فایلهای مخرب باینری -هماهنگی با ModSecurity
-شناسایی نسخههای قدیمی CMSهای معروف (مانند WordPress, Joomla, osCommerce , Drupal) و ارسال گزارش به مدیر.
و …
آموزش نصب CXS در دایرکت ادمین :
دستورات زیر را برای نصب پکیج های مورد نیاز در سرور اجرا کنید. یک ایمیل معتبر جایگزین [email protected] نمائید.
1 2 3 4 5 6 7 8 9 | yum -y install perl-Archive-Tar perl-Archive-Zip.noarch perl-Crypt-SSLeay.x86_64 perl-Time-HiRes.x86_64 wget http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm rpm -ivh epel-release-6-8.noarch.rpm yum -y install perl-Linux-Inotify2 |
در صورتی که دستورات بالا با خطا مواجه شد از دستورات جایگزین زیر استفاده کنید.
1 2 3 4 5 6 7 8 9 10 11 | yum install cpan cpan -i Archive::Zip cpan -i Archive::Tar wget http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm rpm -Uvh epel-release-6*.rpm yum install perl-Linux-Inotify2 |
اکنون لازم است cxs را نصب نمایید.
1 2 3 4 5 6 7 8 9 10 11 12 13 | wget http://download.configserver.com/cxsinstaller.tgz tar -xzf cxsinstaller.tgz perl cxsinstaller.pl rm -fv cxsinstaller.* cd /etc/cxs/ ln -s cxsdaily.sh /etc/cron.daily/ nano /etc/cron.d/daily-cxs |
کد زیر را در فایلdaily-cxs ذخیره کنید ( هر روز ساعت ۴ صبح فایل هایی که طی ۴۸ ساعت گذشته تغییر کرده است را بررسی میکند و نتیجه آن ایمیل خواهد شد.)
1 2 3 4 5 6 7 | 0 4 * * * root /usr/sbin/cxs --logfile /var/log/cxs.log --mail security@iranserver.com --exploitscan --virusscan --sversionscan --bayes -I /etc/cxs/cxs.ignore -Q /etc/cxs/quarantine --options mMOLfSGchexdnwZRD --voptions mfuhexT --qoptions Mv -Z --www --summary --html --ssl -C /var/clamd --nofallback -T 5 --ctime 48 --allusers --quiet |
در انتها دستورات زیر را اجرا کنید.
برای Centos6:
1 2 3 | chkconfig cxswatch on /etc/init.d/cxswatch start |
برای Centos7:
1 2 3 | systemctl enable cxswatch.service systemctl start cxswatch.service rm -rf /etc/cxs/cxs.restricted |
پس از نصب با دستور cxs –allusers بررسی کنید، که بدون خطا اسکن انجام شود.
بعد از نصب در صورتی که موقع اسکن توسط CXS با خطای ClamAv Scanner is Disabled روبرو شدید در CXS در کادر مربوط به ClamAV clamd socket عبارت زیر را قرار دهید.
1 | /tmp/clamd.socket |
در صورتی که در زمان اسکن در CXS با پیغام Unable to connect to clamd, virus scanning disabled مواجه شدید فایل زیر را باز کنید.
1 | nano /etc/clamd.conf |
و # مربوط به خط زیر را بردارید.
1 | LocalSocket /tmp/clamd.socket |
درصورت عدم رفع مشکل clamd را مجدد نصب یا بروزرسانی نمائید.
حذف cxs
با اجرای دستورات زیر می توانید cxs را حذف کنید.
1 2 3 | cd /etc/cxs sh unistall.sh |
بروزرسانی cxs
با اجرای دستورات زیر می توانید cxs را بروزرسانی کنید.
1 | cxs -U |
بررسی آلوده بودن فایل ها با cxs :
جهت اسکن فایل های سایت از دستور زیر استفاده کنید:
1 | Cxs --user useraccount |
براساس نتیجه خروجی لاگ قابل تشخیص خواهد بود که بعنوان مثال وردپرس یا پلاگینی نیاز به آپدیت دارد.
فایلهای قرنطینه شده را در مسیر زیر می توانید مشاهده کنید:
1 | cd /etc/cxs/Quarantine/cxsuser/username |
نام اکانت را جایگزین username نمائید.
نتیجه اجرا دستور بالا مواردی شبیه زیر برای شما نمایش داده خواهد شد :
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | total 24 -rw-r--r-- 1 root root 5995 Dec 14 11:23 index.html.1513238011_1 -rw-r--r-- 1 root root 398 Dec 14 11:23 index.html.1513238011_1.restore4 -rw-r--r-- 1 root root 6789 Dec 14 11:24 symfony_debug.c.1513238049_1 -rw-r--r-- 1 root root 398 Dec 14 11:24 symfony_debug.c.1513238049_1.restore4 |
در مثال بالا index.html اسم فایل و ۱۵۱۳۲۳۸۰۱۱_۱ نیز id می باشد.
اگر این فایل ها را باز کنید، در خطا اول احتمالا یک shell code نوشته شده که قابل مشاهده خواهد بود.
اگر فایل هایی که پسوند restore دارند را نیز باز کنید، مسیر اصلی فایل در آن ذکر شده است.
در صورتیکه نیاز به بازگردانی فایل قرنطینه ای وجود داشت از دستور زیر استفاده کنید:
1 | cxs –qrestore [File] |
اقدامات لازم پس از اسکن:
پس از scan نیاز است فایل های آلوده پاکسازی یا جایگزین شوند.
بعد از اقدامات انجام شده مجدد برای اطمینان با cxs سایت را مجدد اسکن کنید.
محیط گرافیکی cxs در دایرکت ادمین:
درصورتیکه که کار با ssh و دستورات لینوکس بنظرتون دشوار هست می تونید از محیط گرافیکی که پس از نصب از طریق کنترل پنل دردسترس هست، استفاده کنید.
پس از نصب cxs در دایرکت ادمین از طریق محیط گرافیکی ConfigServer eXploit Scanner مطابق تصویر زیر می توانید cxs را مدیریت نموده و آن را فعال/غیرفعال/ریست نمائید.
و همچنین فایل های قرنطینه شده مرتبط با هر یوزر را مشاهده نموده، آن ها را بازگردانی یا حذف نمائید.
بدین منظور پس از ورود به کنترل پنل و وارد شدن به قسمت ConfigServer eXploit Scanner گزینه Quarantine را انتخاب کنید.
در صفحه باز شده View Quarantine را انتخاب کنید.
سپس نیاز است یوزر مورد نظر را انتخاب View Quarantine user را انتخاب کنید.
لیست فایل های قرنطینه شده اکانت مورد نظر لیست شده و شما می توانید مسیر فایل و محتوای آن را مشاهده و در صورت نیاز آن را بازگردانی (Restore) و یا حذف (Delete) نمائید.
دستورات پرکاربرد cxs
در زیر نیز لیستی از پرکاربردترین دستورات cxs ذکر شده است.
جهت اسکن یک یوزر خاص از دستور زیر استفاده نمائید:
1 | cxs --user USERNAME |
جهت اسکن تمام یوزرها از دستور زیر استفاده نمائید:
1 | cxs --allusers |
جهت اسکن یک فایل از دستور زیر استفاده نمائید:
1 2 3 | cxs /path of the file cxs /home/USERNAME/public_html/xmlrpc.php |
جهت اسکن در حالت کنترل load سرور از دستور زیر استفاده نمائید:
1 | cxs -T [num] |
جهت اسکن در background از دستور زیر استفاده نمائید:
1 | cxs -B |
جهت ارسال گزارش فایل مخرب جدید به دیتابیس cxs از دستور زیر استفاده نمائید:
1 | cxs --wttw [filename] |
جهت اسکن کردن تنها از public_html و دایرکتوری ها داخلی آن از دستور زیر استفاده نمائید:
1 | cxs --www [file] |
جهت پیوست کردن log نتیجه اسکن به یک فایل خاص از دستور زیر استفاده نمائید:
1 | cxs --logfile [file] |
جهت حذف فایل های قرنطینه شده از دستور زیر استفاده نمائید:
1 | cxs –D |
در صورتی که نیاز به مشاوره بیشتر در این زمینه داشتید با بخش پشتیبانی ایران سرور تماس حاصل نمایید.
۰۵۱۳۱۷۷۶-۹۰۲
همینطور جهت خرید لایسنس و فعالسازی CXS می توانید با بخش فروش ایران سرور تماس حاصل کنید.
۰۵۱۳۱۷۷۶-۹۰۱
ممنون از توضیحات بسیار خوب شما.
هنگامی که در اسکن با cxs فایلی مشکوک تشخیص داده نمیشه، چطور میشه اون فایل مشکوک رو به صورت دستی در قرنطینه قرار داد.