آشنایی با CXS و نحوه نصب آن

ادمین

مدت زمان مطالعه: 15 دقیقه 17 خرداد 01

آشنایی با CXS

  با کمک ابزار ConfigServer eXploit Scanner (به اختصار CXS) می توانید اسکن فعال پرونده هایی را که در سرور بارگذاری شده اند، انجام دهید. این ابزار همچنین امکان اجرای اسکن پرونده ها / دایرکتوری ها / و حساب های کاربری را که قرار است مورد سوء استفاده قرار بگیرند ، ویروس ها و منابع مشکوک را در اختیار شما قرار می دهد. می توانید داده های کاربران موجود را اسکن کنید تا بررسی کنید که آیا سوء استفاده هایی در گذشته بارگیری شده است یا از طریق روش هایی که توسط اسکن فعال پوشانده نشده است. این ابزار بطور خاص برای افزایش کارایی و مقیاس پذیری سرور ساخته شده است. CXS از سوء استفاده از یک حساب کاربری که توسط بدافزارها آسیب دیده جلوگیری می کند. به شما امکان می دهد پرونده های مشکوک را در قرنطینه حذف یا جابجا کنید. از حمله هایی مانند اسکریپت spamming Dark Mailer Dark / Mail / Gumblar Virus / imgaaa.net / اسکریپت های مشکوک PHP و Perl و غیره جلوگیری می کند. CXS با اسکن فعال می تواند برای جلوگیری از سوء استفاده از یک حساب کاربری که توسط بدافزارها آسیب دیده است، کمک کند. قبل از فعال شدن ، می توانید پرونده های مشکوک را به قرنطینه منتقل کنید. این همچنین شامل سوءاستفاده هایی مانند اسکریپت spamming Dark Mailer (انواع مختلف ، از جمله کد پیچیده بدون در نظر گرفتن نام پرونده) و پرونده های بارگذاری شده با ویروس Gumblar ، همچنین اسکریپت های جایگزین imgaaa.net است. همچنین می تواند بارگیری اسکریپت های مشکوک PHP و Perl را که معمولاً برای انجام حملات مخرب بیشتر و ارسال اسپم مورد استفاده قرار می گیرند ، مسدود کند. به یاد داشته باشید، CXS یک اسکنر rootkit نیست، اگرچه می تواند به شناسایی ریشه های آپلود شده در حساب های کاربر کمک کند.

امکانات CXS

اسکن فعال را می توان در تمام فایلهای متنی انجام داد:

• بدون در نظر گرفتن نحوه آپلود آنها ، تمام پرونده های تغییر یافته را در حساب های کاربری با استفاده از Daemon Watch CXS فعال می کند.
• اسکریپت های بارگذاری PHP (از طریق قلاب ModSecurance)
• اسکریپت های آپلود Perl (از طریق قلاب ModSecurance)
• اسکریپت های بارگذاری CGI (از طریق قلاب ModSecurance)
• هر نوع اسکریپت وب دیگری که از فرم HTML داده / چند شکل ENCTYPE HTML استفاده کند (از طریق قلاب ModSecurance)
• بارگیری های خالص ftpd

برخی از قابلیت های CXS شامل موارد زیر است:

• بیش از ۴۰۰۰ نسخه شناخته‌ شده از خط اثر انگشت (علاوه بر تشخیص استاندارد ClamAV)
• ویروس‌ های شناخته‌ شده از طریق ClamAV
• تطبیق الگوی عبارات منظم برای کمک به شناسایی exploits شناخته‌شده / نامعلوم
• تطابق نام پرونده
• نام پرونده مشکوک
• انواع پرونده مشکوک
• شناسایی فای های باینری
• برخی از تاسیسات وب غیر قانونی
• کاربر سفارشی الگوهای بیان منظم را مشخص می‌کند.
• بررسی جامع و ثابت تمامی داده‌های کاربر با استفاده از (CXS daemon Watch) تمام فایل‌های کاربر را به محض تغییر شکل می‌گیرند.
• بررسی روزانه اثر انگشت Exploit جدید.
• بررسی نسخه قدیمی اسکریپت های وب محبوب   (به عنوان مثال wordpress، Joomla، osCommerce)
• اسکن Bayes - اسکریپت ها را اسکن می کند و محتویات را از طریق الگوریتمی منتقل می کند که احتمال ایجاد سوء استفاده را ایجاد می کند.
• از فایل‌ها و دایرکتوری‌های موجود برای تغییرات و ارسال گزارش الکترونیکی از فعالیت استفاده می کند.
• سیستم اعتبار IP. این سیستم انواعی از IP های IP را فراهم می‌ئکند که از اطلاعات ارائه‌ شده توسط سرورهای شرکت‌ کننده جمع‌آوری شده‌ اند. این جنبه دوگانه اطلاعات را برای کمک به حفاظت از سرور با استفاده از اعتبار حملات فعال فراهم می‌ کند.
• بروزرسانی عمده برای اسکن نسخه Script. cxs اکنون بیش از 200 برنامه شخصی، بیش از 200 افزونه وردپرس و بیش از 200 برنامه افزودنی جوملا را اسکن می کند، در مجموع بیش از ۷۰۰ مورد است.
• برپاسازی cxs Wizard در رابط کاربری مناسب برای پیکربندی بار اول.
• فرمان cxs Wizard برای کمک به ایجاد دستورها اسکن کارآمد
• ایجاد واسط قرنطینه جدید از طریق پایگاه‌داده SQLite
• آمار ارائه اطلاعات در یک نگاه به آنچه که cxs انجام داده‌است
• دستور Wizards برای کمک به پیکربندی Watch cxs، Modsecurity و FTP
• و موارد دیگر...

آموزش نصب CXS

در این آموزش نحوه نصب و پیکربندی CXS در سرورهای cPanel را به شما نشان خواهم داد. موارد مورد نیاز برای نصب CXS:

• cPanel / WHM - آخرین نسخه ها
• InterWorx - آخرین نسخه ها (در حال حاضر در BETA)
• DirectAdmin - آخرین نسخه ها (در حال حاضر در BETA)
• Plesk Onyx - آخرین نسخه: Onyx v17.8.10 + (BETA)
• VestaCP - آخرین نسخه ها (BETA)
• پنل وب CentOS - آخرین نسخه ها (BETA)
• سرور با آدرس IPv4 / IPv6 استاتیک (برای مجوز)
• Redhat / CentOS / CloudLinux Linux v6 / 7
• فرآیند Daemon ClamAV ، برای اسکن ویروسSQLite v3 ، برای پایگاه داده قرنطینه ، گزارش و آمار
• ModSecurance v2 +، برای اسکن بارگذاری اسکریپت وب (این مورد نیاز نیست)
• خالص ftpd، با - با آپلود اسکریپت برای اسکن بارگذاری ftp (این مورد نیاز نیست)
• csf، اگر می خواهید آدرس IP-ftpd خالص یا ModSecurance را مسدود کنید

مرحله 1 

CXS نرم افزاری تجاری است اما بسیار ارزشمند است و خرید آن کاملا به صرفه است. اولین قدم خرید مجوز در وب سایت آن ها است.

http://configserver.com/cp/cxs.html

مرحله 2

پس از دریافت مجوز خود، به عنوان root وارد سرور خود شوید و نرم افزار را دانلود کنید.

wget https://download.configserver.com/cxsinstaller.tgz

مرحله 3

CXS را استخراج کرده و نصب را اجرا کنید.

tar -xzf cxsinstaller.tgz

مرحله 4 

نصب CXS را اجرا کنید.

perl cxsinstaller.pl

مرحله 5 

دایرکتوری قرنطینه خود را ایجاد کنید.

cxs --qcreate --quarantine /etc/cxs/quarantine

مرحله 6 

#!/bin/sh
###############################################################################
# Copyright 2009-2015, Way to the Web Limited
###############################################################################
# The option --Wstart MUST be used on the cxs command line here
#
# Examples (only use ONE line for cxs scanning):
#/usr/sbin/cxs --Wstart --allusers --mail root
#/usr/sbin/cxs --Wstart --allusers --www --mail root --quarantine /home/safe/ --qoptions Mv --Wadd /etc/cxs/cxs.wadd
#
# We would recommend using --qoptions Mv initially if you use --quarantine
# otherwise you might find cxs quarantining files that you do not want to.
# For example, you probably do NOT want to quarantine all script files (T)!
#

/usr/sbin/cxs --options -wW --Wstart --allusers --www --smtp --ignore /etc/cxs/cxs.ignore --qoptions Mv --quarantine /etc/cxs/quarantine --log /var/log/cxs.log --Wmaxchild 3 --Wloglevel 0 --Wsleep 3 --filemax 0 --Wrateignore 300

#!/bin/sh
###############################################################################
# Copyright 2009-2015, Way to the Web Limited
###############################################################################
# The option --ftp MUST be used on the cxs command line here
#
# Examples (only use ONE line for cxs scanning):
#/usr/sbin/cxs --quiet --ftp --mail root "$1"
#/usr/sbin/cxs --quiet --ftp --mail root --quarantine /home/safe/ "$1"
#/usr/sbin/cxs --quiet --ftp --mail root --quarantine /home/safe/ --block "$1"
#/usr/sbin/cxs --quiet --ftp --logfile /var/log/cxs.log "$1"
#
# If you use --logfile, remember to chmod 666 [file] to allow write access

/usr/sbin/cxs --quiet --ftp --quarantine /etc/cxs/quarantine --logfile /var/log/cxs.log --mail yourname@youremail.com "$1"

#!/bin/sh
###############################################################################
# Copyright 2009-2015, Way to the Web Limited
###############################################################################
# Run this script via cron daily

# Daily update of cxs and/or fingerprint definitions
/usr/sbin/cxs --upgrade --quiet

# Daily cleanup of quarantine if used. Modify to specify your quarantine
# directory and duplicate if you use more than one.
#
# Set --qclean to the number of days to retain, e.g. 7 = one week
/usr/sbin/cxs --qclean 7 --quarantine /etc/cxs/quarantine --quiet

/scripts/update_local_rpm_versions --edit target_settings.clamav installed
/scripts/check_cpanel_rpms --fix --targets=clamav

touch /var/log/cxs.log
chmod 630 /var/log/cxs.log

vi /etc/pure-ftpd.conf
find #CallUploadScript and change to CallUploadScript (remove comment)
service pure-ftpd restart
service pure-uploadscript restart

/scripts/modsec_vendor add https://download.configserver.com/waf/meta_configserver.yaml
/scripts/modsec_vendor enable configserver
service httpd restart

ln -s /etc/cxs/cxsdaily.sh /etc/cron.daily/

vi /etc/cron.d/daily-cxs

service cxswatch start
chkconfig cxswatch on