você está aqui: Home  → Arquivo de Mensagens

Antivírus em servidores Linux?

Colaboração: Alexandro Silva

Data de Publicação: 04 de agosto de 2011

Engraçado como alguns conceitos mudam totalmente ao passar do tempo, principalmente quando alguns incidentes são os causadores destas mudanças.

Há algum tempo atrás, quando o assunto era instalar antivírus no Linux, uma névoa negra encobria minha mente e o orgulho ou seria melhor dizer a ignorância incitava-me a questionar "POR QUE?" já que o Linux é totalmente imbatível.

Isso mudou após alguns eventos que acabaram mostrando a importância de termos um antivírus instalado e uma rotina diária de checagem do sistema.

Sempre é bom lembrar que apesar de todas as medidas de segurança adotadas no sistema, nunca podemos esquecer das vulnerabilidades nas aplicações. Algumas delas permitem a inserção de arquivos maliciosos como backdoors ou bots.

Existem backdoors escritos em php, asp, jsp, etc que permitem o controle total da máquina vitima, e o uso de um antivírus é fundamental na detecção e remoção destes malwares.

Vejam alguns exemplos de malwares detectados e removidos pelo Clamav:

  ./xxx.xxxx.xxx.br/xxxx/xoops_lib/modules/protector/s.txt: PHP.Remoteadmin-1 FOUND
  ./xxx.xxx.xxx.br/xxx/xoops_lib/modules/protector/sql/index.php/.Insiderz/xh: Hacktool.Fakeproc FOUND
  ./xxx.xxx.xxx.br/conepir/xoops_lib/modules/protector/sql/index.php/.Insiderz/nadya: Trojan.Eggdrop-117 FOUND
  /xxx/xxx/xxx/xxx/xxx/xxxx/datacha0s.txt: PHP.Chaploit
  /xxx/xxx/xxx/xxx/.X-un1x.2: Trojan.Perl.Shellbot-2

Estes arquivos são normalmente implantados no diretório /tmp com as permissões da aplicação. Em várias situações detectei alvos infectados conectando diversos servidores IRC formando botnets que derrubavam toda a infra da empresa.

A partir dai passei a adotar uma rotina diária de checagem do diretório /tmp a cada 05 min e do diretório /var/www/ uma vez ao dia. Os resultados obtidos após estas medidas estão sendo bastantes satisfatórios.

Implementação

  aptitude install clamav

Agendamento

  crontab -e
  */5 * * * * clamscan -r --remove -l /var/log/clamav/scan_tmp.txt /tmp/
  00 23 * * * clamscan -r --remove -l /var/log/clamav/scan_www.txt /var/www/

Existem também ferramentas para ajudar na localização de WEB Backdoors Shells.

Qual AV usar fica a seu critério, para mim o Clamav vem dando conta do recado. Existem diversas soluções no mercado, escolha a sua.



Veja a relação completa dos artigos de Alexandro Silva

 

 

Opinião dos Leitores

Wilson
09 Ago 2011, 15:28
Eu não gosto dessa idéia.

O primeiro exemplo é de um "PHP.Remoteadmin-1".
Se o seu site tiver o conteúdo alterado, e isso for encontrado pelo anti-virus, ele pode apagar o conteúdo do seu site.

Acho que a utilização de anti-virus tem que ser mais bem planejada e restrita a ambientes onde isso faz sentido, como um file-server para compartilhamento público de arquivos via samba/cif.
Elder B. Teixeira
07 Ago 2011, 16:17
Sou usuário do Ubuntu, vcs acreditam ser necessário utilizar um AV?
Nem sempre
05 Ago 2011, 22:25
Muitos exploits entram nos servidores através de falhas nos sistemas instalados, é inviável controlar isso se você tem centenas de clientes.
Hermes A. Borges
05 Ago 2011, 16:08
Hm... ainda não consigo ver o usuário final se beneficiando de tal. Mas ficou bem claro que o colega teve problemas em sua rede por faltou o HTFU nos servidores da rede.
*Nome:
Email:
Me notifique sobre novos comentários nessa página
Oculte meu email
*Texto:
 
  Para publicar seu comentário, digite o código contido na imagem acima
 


Powered by Scriptsmill Comments Script