وضعیت سرورها

وبــلاگ

وضعیت سرورها

  • آشنایی با CXS

    بهاره قلندرنژاد شنبه ۲۳ دی ۱۳۹۶ آموزش , امنیت

    cxs چیست و چه کاربردی دارد ؟

    ConfigServer eXploit Scanner) CXS) یک ابزار پویشگر امنیتی و محصول شرکت ConfigServer است. شما با استفاده از  cxsمی‌توانید از اجرای فایل‌های مخرب مانند شل و ابزار های هک سرور در امان باشید .

    CXS مخصوص سرورهایی با سیستم‌عامل CentOS به‌ همراه کنترل‌ پنل DirectAdmin یا cPanel بوده به صورت کاملا روان و بدون ایجاد فضایی سنگین از ورود و اجرای فایل‌های مخرب جلوگیری می‌نماید.

    یکی از مهمترین ویژگی‌های CXS ، قابلیتی به نام Realtime Monitoring یعنی بررسی و مانیتور لحظه به لحظه سرور است. با فعال نمودن و پیکر بندی مناسب ویژگی CXS Watch Daemon، در صورت آپلود فایل مخرب ، فایل به سرعت حذف یا قرنطینه و گزارش آن برای مدیر سرور ارسال خواهد شد.

     

    برخی از قابلیت‌های CXS :

    -بررسی و مانیتور کردن لحظه به لحظه                                -شناسایی فایل های مخرب

    -شناسایی فایل مخرب براساس نام و نوع فایل                     -شناسایی فایل‌های باینری قابل اجرا

    -شناسایی و ارسال گزارش در مورد حملات symlink             -همگام سازی با آنتی ویروس قدرتمند ClamAV

    -همگام سازی با فایروال CSF                                            -آنالیز و ارسال گزارش در صورت دیدن جرکن مشکوک فایل‌ها

    -قابلیت زمان بندی اسکن فایل‌ها                                       -تنظیم اسکن با cron

    -شناسایی فایل‌های مخرب باینری                                     -هماهنگی با ModSecurity

    -شناسایی نسخه‌های قدیمی CMSهای معروف (مانند WordPress, Joomla, osCommerce , Drupal) و ارسال گزارش به مدیر.

    و …

     

    آموزش نصب CXS در دایرکت ادمین :

     

    دستورات زیر را برای نصب پکیج های مورد نیاز در سرور اجرا کنید. یک ایمیل معتبر جایگزین [email protected] نمائید.

     

    در صورتی که دستورات بالا با خطا مواجه شد از دستورات جایگزین زیر استفاده کنید.

     

    اکنون لازم است cxs را نصب نمایید.

     

    کد زیر را در فایلdaily-cxs ذخیره کنید ( هر روز ساعت ۴ صبح فایل هایی که طی ۴۸ ساعت گذشته تغییر کرده است را بررسی میکند و نتیجه آن ایمیل خواهد شد.)

     

    در انتها دستورات زیر را اجرا کنید.

    برای Centos6:

    برای Centos7:

    پس از نصب با دستور cxs –allusers  بررسی کنید، که بدون خطا اسکن انجام شود.

     

    بعد از نصب در صورتی که موقع اسکن توسط CXS با خطای ClamAv Scanner is Disabled روبرو شدید در CXS در کادر مربوط به ClamAV clamd socket عبارت زیر را قرار دهید.

    در صورتی که در زمان اسکن در CXS با پیغام Unable to connect to clamd, virus scanning disabled مواجه شدید فایل زیر را باز کنید.

    و # مربوط به خط زیر را بردارید.

    درصورت عدم رفع مشکل clamd را مجدد نصب یا بروزرسانی نمائید.

     

    حذف cxs

    با اجرای دستورات زیر می توانید cxs را حذف کنید.

     بروزرسانی cxs

    با اجرای دستورات زیر می توانید cxs را بروزرسانی کنید.

    بررسی آلوده بودن فایل ها با cxs :

    جهت اسکن فایل های سایت از دستور زیر استفاده کنید:

     

    براساس نتیجه خروجی لاگ  قابل تشخیص خواهد بود که بعنوان مثال وردپرس یا پلاگینی نیاز به آپدیت دارد.

     

    فایلهای قرنطینه شده را  در مسیر  زیر می توانید مشاهده کنید:

    نام اکانت را جایگزین username نمائید.

    نتیجه اجرا دستور بالا مواردی شبیه زیر برای شما نمایش داده خواهد شد :

    در مثال بالا index.html اسم فایل و ۱۵۱۳۲۳۸۰۱۱_۱ نیز id می باشد.

    اگر این فایل ها را باز کنید، در خطا اول احتمالا یک shell code نوشته شده که قابل مشاهده خواهد بود.

    اگر فایل هایی که پسوند restore دارند را نیز باز کنید، مسیر اصلی فایل در آن ذکر شده است.

    در صورتیکه نیاز به بازگردانی فایل قرنطینه ای وجود داشت از دستور زیر استفاده کنید:

     

    اقدامات لازم پس از اسکن:

    پس از scan نیاز است فایل های آلوده پاکسازی یا جایگزین شوند.

    بعد از اقدامات انجام شده مجدد برای اطمینان با cxs  سایت را مجدد اسکن کنید.

     

    محیط گرافیکی cxs در دایرکت ادمین:

    درصورتیکه که کار با ssh و دستورات لینوکس بنظرتون دشوار هست می تونید از محیط گرافیکی که پس از نصب از طریق کنترل پنل دردسترس هست، استفاده کنید.

    پس از نصب cxs در دایرکت ادمین از طریق محیط گرافیکی ConfigServer eXploit Scanner  مطابق تصویر زیر می توانید cxs  را مدیریت نموده و آن را فعال/غیرفعال/ریست نمائید.

    و همچنین فایل های قرنطینه شده مرتبط با هر یوزر را مشاهده نموده، آن ها را بازگردانی یا حذف نمائید.

    بدین منظور پس از ورود به کنترل پنل و وارد شدن به قسمت  ConfigServer eXploit Scanner  گزینه Quarantine را انتخاب کنید.

    در صفحه باز شده View Quarantine را انتخاب کنید.

     

    سپس نیاز است یوزر مورد نظر را انتخاب View Quarantine user را انتخاب کنید.

    لیست فایل های قرنطینه شده اکانت مورد نظر لیست شده و شما می توانید مسیر فایل و محتوای آن را مشاهده و در صورت نیاز آن را بازگردانی (Restore) و یا حذف (Delete) نمائید.

     

    دستورات پرکاربرد cxs

    در زیر نیز لیستی از پرکاربردترین دستورات  cxs ذکر شده است.

    جهت اسکن یک یوزر خاص از دستور زیر استفاده نمائید:

     

    جهت اسکن تمام یوزرها از دستور زیر استفاده نمائید:

     

    جهت اسکن یک فایل از دستور زیر استفاده نمائید:

     

    جهت اسکن در حالت کنترل load سرور  از دستور زیر استفاده نمائید:

     

    جهت اسکن در background  از دستور زیر استفاده نمائید:

     

    جهت ارسال گزارش فایل مخرب جدید به دیتابیس cxs  از دستور زیر استفاده نمائید:

     

    جهت اسکن کردن تنها از public_html و دایرکتوری ها داخلی آن  از دستور زیر استفاده نمائید:

     

    جهت پیوست کردن log نتیجه اسکن به یک فایل خاص  از دستور زیر استفاده نمائید:

     

    جهت حذف فایل های قرنطینه شده  از دستور زیر استفاده نمائید:

     

    در صورتی که نیاز به مشاوره بیشتر در این زمینه داشتید با بخش پشتیبانی ایران سرور تماس حاصل نمایید.

    ۰۵۱۳۱۷۷۶-۹۰۲

    همینطور جهت خرید لایسنس و فعالسازی CXS می توانید با بخش فروش ایران سرور تماس حاصل کنید.

    ۰۵۱۳۱۷۷۶-۹۰۱

     

    0

    مطالب مرتبط:

    چگونگی کشف و رفع حفره های امنیتی در وردپرسچگونگی کشف و رفع حفره‌های امنیتی در وردپرس آسیب‌پذیری وب‌سرور IIS - RCE‫‫‫‫آسیب‌پذیری بحرانی IIS در وب‌سرورهای ویندوزی بررسی last logineها در وردپرسچه کسی به وردپرس login کرده‌است؟ چگونه یک بات نت کار می کندتحلیل Botnet نظیر به نظیر waledac

    برچسب ها :

با عضویت در خبرنامه شما را از آخرین تجربیات مان و مطالب تخصصی آگاه خواهیم کرد.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *