How to install / uninstall configserver exploit scanner (cxs)

Проверка поддержки сканера в Linux на уровне драйверов.

Данные о сканерах представлены в таблицах, где наибольший интерес представляет столбец «Статус». Вот его легенда:

  • Complete — полная поддержка.
  • Good — поддерживается большинство функций.
  • Basic — поддерживается только базовый функционал, по факту — хорошо если вообще будет работать.
  • Unsupported — не поддерживается.

Если «Статус» имеет последние два значения, то придётся отказаться от покупки и/или использования данного сканера.

Если по данным сайта сканер поддерживается, но, в данный момент, не сканирует, то можно применить следующие рекомендации. И так, сначала самое простое.

Сканер вредоносного кода

Активное сканирование может выполняться во всех текстовых файлах:
  • Активно сканирует все измененные файлы в учетных записях пользователей с помощью демона cxs Watch независимо от того, как они были загружены
  • PHP загрузки сценариев (через хук ModSecurity)
  • Скрипты загрузки Perl (через хук ModSecurity)
  • Скрипты загрузки CGI (через хук ModSecurity)
  • Любой другой тип веб-скрипта, который использует HTML-форму ENCTYPE multipart / form-data (через хук ModSecurity)
  • Загрузка Pure-ftpd

Активное сканирование файлов может помочь предотвратить использование учетной записи вредоносным программным обеспечением, удалив или переместив подозрительные файлы на карантин, прежде чем они станут активными. Это также может помешать загрузке скриптов PHP и perl, обычно используемых для запуска более злонамеренных атак и для отправки спама.

CXS также позволяет выполнять проверку, по требованию, файлов, каталогов и учетных записей пользователей на наличие подозрительных эксплойтов, вирусов и подозрительных ресурсов (файлов, каталогов, символических ссылок, сокетов). Вы можете запускать сканирование существующих пользовательских данных, чтобы узнать, были ли загружены эксплойты в прошлом или с помощью методов, не охватываемых активным сканированием. Он настроен на производительность и масштабируемость.

Обнаружение эксплойта включает в себя:

  • Более 4000 известных текущих следов сценария эксплойта (в дополнение к стандартному обнаружению ClamAV)
  • Известные вирусы через ClamAV
  • Сравнение шаблонов регулярных выражений для определения известных / неизвестных эксплойтов
  • Соответствие имени файла
  • Подозрительные имена файлов
  • Подозрительные типы файлов
  • Бинарные исполняемые файлы
  • Некоторые незаконные установки веб-программного обеспечения
  • Пользовательские настраиваемые шаблоны регулярных выражений
  • Всестороннее постоянное сканирование всех пользовательских данных с помощью демона cxs Watch — сканирование всех пользовательских файлов сразу после их изменения
  • Ежедневная проверка новых следов эксплоита (Exploit Fingerprints)
  • Проверка наличия старой версии популярных веб-скриптов (например, WordPress, Joomla, osCommerce)
  • Проверка вероятности — сканирует скрипты и обрабатывая содержимое через алгоритм, который выдает вероятность того, является ли это эксплойтом
  • Мониторинг файлов и каталогов, изменений и отправка отчета по электронной почте о деятельности
  • Система репутации IP. Система использует множество блочных списков IP, собранных из информации, предоставляемой участвующими серверами. Этот двойной аспект предоставляет информацию, помогающую защитить сервер, используя репутацию IP для блокировки активных атак
  • Основное обновление для сканирования скриптов. CXS теперь сканирует более 200 отдельных приложений, более 200 плагинов WordPress и более 200 расширений Joomla. Всего более 700!
  • Простой мастер установки cxs для пользовательского интерфейса и конфигурации при первом запуске
  • CXS Command Wizard для создания эффективных команд сканирования
  • Новый интерфейс карантина через базу данных SQLite
  • Cтатистика, для получения информации относительно того, что делает cxs
  • Команда Wizard для настройки конфигурации cxs Watch, Modsecurity и FTP
  • cxs Daily / Weekly Scan Wizard, чтобы создавать и изменять задания cron в файле /etc/cron.d/cxs-cron
  • … и многое другое!

Веб-интерфейс пользователя:

В комплекте с интерфейсом командной строки cxs (CLI) используется веб-интерфейс пользователя (UI), который позволяет:

  • Запуск сканирования
  • Расписание и редактирование сканирования через CRON
  • Составление команд сканирования CLI
  • Просмотр, удаление и восстановление файлов из карантина
  • Просмотр документации
  • Установка и изменение значений по умолчанию для сканирования
  • Редактировать часто используемые файлы cxs

Примечание. Cxs не является сканером руткитов, хотя он может помочь обнаружить руткиты, загруженные в учетные записи пользователей.

2. You should now read the cxs documentation either through:

I. The UI        2. # perldoc cxs        3. # cxs –help

If you decide to use the cxs Watch daemon you can skip items 3 to 5. Instead, read the documentation under the cxs Watch Daemon section on using this method.

To install the required Perl module for the cxs Watch daemon on a cPanel server you can use:

    /scripts/perlinstaller Linux::Inotify2

3. You will want to modify the following files to suit your requirements after you have read the cxs documentation and studied the CLI option. These files can be changed at any time and contain the cxs commands and options you wantto use for scanning files as they are uploaded:

The pure-ftpd upload scanner script that runs cxs: /etc/cxs/cxsftp.sh

The web script upload scanner script that runs cxs:/etc/cxs/cxscgi.sh

4. Web script upload scanning is performed via mod_security. To enable this add the following two lines (be careful of line breaks) to your mod_security rules file (/usr/local/apache/conf/modsec2.user.conf on cPanel):

SecRequestBodyAccess On        SecRule FILES_TMPNAMES “@inspectFile /etc/cxs/cxscgi.sh” \                “log,auditlog,deny,severity:2,phase:2,t:none,id:’1010101′”        SecTmpDir /tmp

If you allow the uploading of very large files, you may need toincrease the default mod_security allowable size of 128MB by using the SecRequestBodyLimit directive after SecRequestBodyAccess:

SecRequestBodyLimit 134217728

This value is in bytes (134217728 = 128MB). You might also want to create the temporary files in a directory other than /tmp using:

SecTmpDir /path/to/dir

Where /path/to/dir is a directory where the large files can betemporarily stored and must be writable to by the nobody user

5. Pure-ftpd upload scanning requires you to edit the active pure-ftpd.conf (e.g. /etc/pure-ftpd.conf) and adding/modifying the line:

CallUploadScript yes

Note: Pure-ftpd must be compiled with –with-uploadscript option (usually done by default)

On Linux:Then restart pure-ftpd and pure-uploadscript. The installation process adds a new service in /etc/init.d/pure-uploadscript which runs as a daemon and passes ftp uploads to /etc/cxs/cxsftp.sh

On FreeBSD:Then add the following lines to /etc/rc.conf:

pureftpd_enable=”YES”        pureftpd_upload_enable=”YES”        pureftpd_uploadscript=”/etc/cxs/cxsftp.sh”

   Then restart pure-ftpd

6. ClamAV scanning requires a running clamd daemon. By default cxs will look for the clamd socket at /tmp/clamd and /var/clamd, if it is located elsewhere then you must use the –clamdsock option and pass the socket location in every cxs call (i.e. in cxsftp.sh, cxscgi.sh and the cxs CLI) or use a cxs.defaults file.

7. If you want automatic updates then use the following as an example:

ln -s /etc/cxs/cxsdaily.sh /etc/cron.daily/

8. You can test both Perl CGI and PHP upload checks by copying the files /etc/cxs/test.* to an empty test directory within a web site on the server (set the file permissions and ownership correctly).

First, upload a normal file to check the uploads work.

Then try uploading the exploit file from /etc/cxs/test/udp.pl which should trigger whatever settings you have configured in /etc/cxs/cxscgi.sh

You can also upload /etc/cxs/test/udp.pl via FTP which should trigger whatever settings you have configured in /etc/cxs/cxsftp.sh

NOTE: Remove the test scripts from the web site after testing as the test scripts are NOT secure.

9. See the RECOMMENDATIONS in the cxs POD documentation

Webmin Module Installation/Upgrade (not yet implemented)==================================

To install or upgrade the cxs webmin module:

Install cxs as aboveInstall the cxs webmin module in:  Webmin > Webmin Configuration > Webmin Modules >  From local file > /etc/cxs/cxswebmin.tgz > Install Module

Uninstallation==============

Reverse items 4, 5 and 7 above, then:

cd /etc/cxssh uninstall.shcd /root

Visit- Hostripples
Vishwajit Kale

Vishwajit Kale blazed onto the digital marketing scene back in 2015 and is the digital marketing strategist of Hostripples, a company that aims to provide affordable web hosting solutions. Vishwajit is experienced in digital and content marketing along with SEO. He’s fond of writing technology blogs, traveling and reading.

Subscribe Now to stay updated.

Проверка распознавания системой сканера, как устройства.

Сначала нужно посмотреть, определяется ли сканер физически. Большинство сканеров сейчас подключается по USB, поэтому необходимо открыть Терминал и ввести команду, показывающую все подключенные USB-устройства:

lsusb

Запустить Терминал можно по сочетанию клавиш Ctrl+Alt+T

Если среди них нет искомого сканера, то, скорее всего, проблема аппаратная. Стоит проверить, подключён ли сканер по USB, не переломился ли кабель и вообще, исправен ли сам сканер. Так же могут быть проблемы с распознаваем сканера в BIOS или UEFI компьютера. Часто помогает отключение XHCI в UEFI.

Если же в выводе Терминала есть строчка подобная этой:

Bus 003 Device 005: ID 04a9:2220 Canon, Inc. CanoScan LIDE 25

то уже хорошо — система видит сканер как USB-устройство и можно двигаться дальше. Естественно, что все цифры и наименование сканера могут быть другими

Важно то, что такая строка есть в принципе.

Теперь нужно ввести в Терминале:

scanimage -L

Следует обращать внимание на регистр букв. Во избежание ошибок лучше копировать команды в Терминал через буфер обмена.. Если система не может выполнить команду, то, вероятно, не установлен пакет , о чём и сообщит Терминал

Установить этот пакет можно командой:

Если система не может выполнить команду, то, вероятно, не установлен пакет , о чём и сообщит Терминал. Установить этот пакет можно командой:

sudo apt install sane-utils

а затем повторить ввод:

scanimage -L

Положительным ответом будет считаться строка, аналогичная этой:

device `plustek:libusb:003:008' is a Canon CanoScan LiDE25 flatbed scanner

Собственно, на этом можно и остановиться. Сканер подключен и распознаётся, можно сканировать.

Если же Терминал выдаёт отрицательный ответ примерно в таком виде:

No scanners were identified. If you were expecting something different,
check that the scanner is plugged in, turned on and detected by the
sane-find-scanner tool (if appropriate). Please read the documentation
which came with this software (README, FAQ, manpages)

то это может означать:

  • аппаратную проблему;
  • отсутствие прав на работу со сканером у активной в данный момент учётки пользователя;
  • сканеру запрещено обращаться к ядру (где обычно и находятся драйвера).

Решать проблемы лучше в этом же порядке. Про решение аппаратных проблем уже было сказано выше, поэтому можно сразу перейти к настройке прав учётки пользователя.

Обновление системы с целью получения новых драйверов.

В Linux-дистрибутивах, к которым относиться и Ubuntu, большинство драйверов встроенно в ядро системы (собственно, в сам Linux). Поэтому следует регулярно устанавливать обновления системы, так как на ряду с другими обновлениями могут прийти новые версии ядра, а следовательно, и новые драйвера для компьютера и периферии.

Установить обновления можно с помощью системного приложения «Программы и обновления» (для классической Ubuntu с Unity) или с помощью «Менеджера обновлений Muon» (для KDE). О том, как использовать «Менеджер обновлений» можно прочитать, например, здесь:Репозитории и обновления

(заголовок «Управление обновлениями» во второй части страницы).

«Менеджер обновлений Muon» в KDE работает аналогично, хотя немного и отличается интерфейсом и наличием доп. функций.

Даже если в списке устанавливаемых обновлений не было новых версий ядра, то ничего страшного. В любом случае, обновления всегда полезны.

Если с обновлениями пришли новые ядра, то после окончания установки обновлений компьютер попросит его перезагрузить, на что надо согласиться. После перезагрузки можно ещё раз проверить работоспособность сканера.

Если сканер по-прежнему не работает, то потребуются применить более серьёзные методы решения проблемы.

ConfigServer Security & Firewall (CSF)

Приступим к установке CSF. Она легка и делается на раз-два. В консоли от имени root нужно выполнить последовательность команд:

Скрипт все сделает сам и, что очень важно, добавит твой IP-адрес, с которого ты подключен к серверу, в белый список. После установки CSF еще не активен, перед его включением нужно настроить ключевые параметры, а потом можно и запускать

Для настройки переходи в панель WHM, а там — в раздел Home → Plugins → ConfigServer Security & Firewall.

В новых версиях CSF можно увидеть очень упрощенный интерфейс, который позволяет работать только с IP-адресом. Конечно, он удобен, когда все настроено, но пока что он нам не нужен. Для перехода к классическому интерфейсу нужно нажать на кнопку Desktop View.

В классическом интерфейсе прокручиваем страницу и находим раздел CSF — ConfigServer Firewall. Там нам нужны будут две кнопки: Firewall Configuration и Firewall Profiles.

Сначала жмем на кнопку Firewall Profiles и выберем профиль работы CSF, вместе с которым будут загружены настройки. Для тех, кто незнаком с этим плагином, я рекомендую выбирать профиль disable_alerts, так как CSF шлет о каждом событии письмо и твой почтовый ящик рискует быть переполненным.

Когда поднастроишь CSF получше, можно будет выбирать другой профиль или обойтись без него вовсе и просто задать все нужные параметры. Ну а пока выбираем disable_alerts и жмем кнопку Apply Profile. Появится страница, где будет предложено перезагрузить CSF или вернуться назад. Настройки записаны в файл, но они еще не применены, требуется перезапуск CSF. Пока что отложим его и нажмем Return, после чего попадем на главную страницу плагина.

Теперь приступим к самой настройке. Нажимаем на кнопку Firewall Configuration и оказываемся перед огромной панелью с кучей кнопок. Но не беда, ничего особенно сложного тут нет

По самому важному мы сейчас пройдемся, да и почти каждый параметр имеет небольшое описание, которого хватит, чтобы понять, что к чему

Первый параметр, который нас встречает, — это TESTING. Это что-то вроде предохранителя: если ты вдруг задашь такие настройки, что не сможешь попасть на свой сервер, то при включенном TESTING через пять минут все блокировки автоматически снимутся. Если ты используешь выделенный IP или VPN, то тебе это не нужно, достаточно добавить свой IP в белый список — тогда тебя не заблокирует ни при каких условиях. Если же твой IP меняется при каждом реконнекте, то включение TESTING при первом знакомстве с CSF обязательно.

Теперь долистай настройки до раздела IPv4 Port Settings. Здесь нужно будет выставить значение 20:65535 для параметров TCP_OUT и UDP_OUT. Оба они задают номера исходящих портов, с которых программам, работающим на сервере, разрешено устанавливать внешние соединения.

Что удивительно, при первом знакомстве многие не обращают внимания на эти параметры и при включении CSF оставляют их по дефолту. В результате на сервере перестают работать почта, сайт и сама cPanel — просто из-за того, что не могут установить внешний коннект с браузером пользователя. При этом если у тебя выделенный IP, то у тебя-то все будет работать, а вот у остальных — нет.

Следующие параметры, на которые стоит обратить внимание, — это DENY_IP_LIMIT и DENY_TEMP_IP_LIMIT. Они указывают, сколько IP-адресов может быть заблокировано твоим iptables

Если переоценить возможности своего сервера, то может получиться так, что все тормозит из-за iptables. Рекомендую начинать с небольших чисел и наблюдать, сколько IP попадает в блокировку. Прибавляй по 128–256 адресов и наблюдай за нагрузкой сервера. При использовании VPS рекомендую установить следующие значения:

Если у тебя выделенный сервер, то можно поставить побольше:

Продолжение доступно только подписчикам

Материалы из последних выпусков можно покупать отдельно только через два месяца после публикации. Чтобы продолжить чтение, необходимо купить подписку.

Подпишись на «Хакер» по выгодной цене!

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Читать новость в источнике Xakep

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Мой редактор ОС
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: