
Установка CXS (ConfigServer eXploit Scanner) в Unix/Linux
CXS (ConfigServer eXploit Scanner) — это платное решение для защиты от malwares (вредоносного кода) или вирусов под управлением ОС Unix или Linux. Большой плюс — это поддержка данной утилиты через cPanel и простота использования. В своей теме «Установка CXS (ConfigServer eXploit Scanner) в Unix/Linux» я расскажу об установке CXS на примере centOS 6.7. Но будет работать и на других Linux ОС.
Активное сканирование может быть выполнено следующих файлов:
- Активно сканирует все измененные файлы в аккаунте с помощью CXS.
- Загрузка PHP скриптов (через хук ModSecurity).
- Загрузка Perl скриптов (через хук ModSecurity).
- Загрузка CGI скриптов (через хук ModSecurity).
- И любой другой скрипт который использует HTML форму ENCTYPE multipart/form-data (через хук ModSecurity).
- Загрузка через Pure-ftpd.
Активное сканирование файлов может помочь предотвратить эксплуатацию аккаунтов вредоносными программами, удалив или переместив подозрительные файлов в карантин, до того как их начнут использовать. Он так же может предотвратить загрузку PHP и Perl скриптов, которые обычно используются для запуска более вредоносных атак и для рассылки спама.
CXS также позволяет выполнять сканирование «on-demand scanning», тоесть, сканирование файлов в режиме демона. Вы можете запустить сканирование существующих пользовательских данных, чтобы проверить были и попытки загрузки вредоносных файлов, которые не были охвачены активным сканированием. Это было настроено для производительности и масштабируемости.
Утилита позволяет обнаруживать следующие exploit-ы:
- Более 3000 известных сприптов (exploit-тов) к дополнению к стандартным обнаружениям в ClamAV.
- Известные вирусы через ClamAV.
- Подозрительные имена файлов.
- Подозрительные типы файлов.
- Бинарные исполняемые файлы.
- Некоторые нелегальные установщики ПО.
- Пользовательские регулярные выражения.
- И многое другое.
В комплекте с интерфейсом командной строки CXS (CLI) имеется так же графический (пользовательский) интерфейс (UI), который может выполнять:
- Запуск сканирования.
- Планирование и редактирование расписаний через CRON для сканирования.
- Использовать команды для сканирования в командной строке CLI.
- Просмотр, удаление и восстановление файлов с карантина (Quarantine).
- Просматривать документацию.
- Настройка и редактирование стандартных значений для сканирования.
- Редактировать часто используемые файлы CXS.
Установка CXS (ConfigServer eXploit Scanner) в Unix/Linux
Для этой утилиты нужна лицензия, ее необходимо приобрести. За каждый сервер, вы будите платить $60. У меня имеется лицензия, по этому, я выполню установку.
Сначала подключитесь к серверу по SSH и выполните команду:
# cd /usr/local/src && wget https://download.configserver.com/cxsinstaller.tgz
Распаковываем архив:
# tar -xzf cxsinstaller.tgz
Запускаем инстолятор:
# perl cxsinstaller.pl
Удаляем ненужные данные, скачанный архив:
# rm -frv cxsinstaller.*
После этого, вы должны следовать инструкциям по установке /etc/cxs/install.txt с шага 2.
Теперь нужно определить ваши параметры CXS. Вы можете сделать это с помощью панели администратора (во вкладке «ConfigServer exploit Scanner»). Когда вы определили параметры для запуска, добавьте его в /etc/cxs/cxswatch.sh.
Например:
# /usr/sbin/cxs --Wstart -Wmaxchild 3 --Wloglevel 0 --Wsleep 3 --report /var/log/cxs.scan --logfile /var/log/cxs.log --mail admin@roothelp.net --exploitscan --virusscan --nosversionscan -I /etc/cxs/cxs.ignore -Q /home/quarantine --options mMOfSGchdnwZRD --qoptions Mhv --summary -C /tmp/clamd.socket -T 5 --allusers
И напоследок, нужно запустить службу cxswatch, для этого выполняем:
# service cxswatch start
Скриншоты утилиты cxs.
Главная страница ConfigServer eXploit Scanner выглядит так:
Сканирования с использованием CXS выглядит:
Помещение вредоносных файлов в карантин CXS выглядит так:
Добавление заданий для сканирования с CXS выглядит:
Вот и все, моя тема «Установка CXS (ConfigServer eXploit Scanner) в Unix/Linux» завершена.