Útil script de seguridad para Servidores

WebTech · 20-oct-2007, 20:56

Aquí va un pequeño aporte

Luego de usarlo por un par de años, creo que me ha resultado muy útil usarlo en los reportes diarios de sistemas. Cuando recién comencé en el mundo de los servidores Linux, me encontré con un par de líneas para buscar ejecutables, luego de eso decidí adaptarlas a mi gusto y el resultado fue este script.

Es un script que busca ejecutables en el talón de Aquiles de los servidores web (los directorios /tmp /var/tmp y /dev/shm), puede encontrar diría que cualquier ejecutable de variados lenguajes (perl, python, c, c++, bash, etc) en los directorios mencionados anteriormente. Si bien hay suites como CSF que traen este tipo de funcionalidades, hasta hoy no he visto nada más eficáz que este simple script en bash.

Solo lo he usado en servidores RedHat, Fedora, CentOS, y algún Suse, pero debería funcionar en la mayoría de las distribuciones.

Para descargarlo:

Código:

wget http://www.encuentroalternativo.com/descargas/compilerz.txt
mv compilerz.txt compilerz.sh
chmod +x compilerz.sh

Para ejecutarlo:

Código:

./compilerz.sh

Pueden ir un poco más lejos, y setear un cron que envíe este reporte a su email todos los días, así tendrán controlado de que no haya nada indeseable subido por script-kiddies.

Un ejemplo al encontrar ejecutables, en este caso, un script en bash y otro en perl:

Código:

[root@webtech:~]sh compilerz.sh 
Sus directorios temporales CONTIENEN SCRIPTS Y/O PROGRAMAS [ ATENCION ] 
-----------------------------------------------------------------------
/tmp/bash.sh: Bourne-Again shell script text executable
/tmp/lt.txt: perl script text executable
/var/tmp/bash.sh: Bourne-Again shell script text executable
/var/tmp/lt.txt: perl script text executable
[root@webtech:~]

Espero les sea igual de útil que a mi.

Saludos!

Apolo · 20-oct-2007, 23:13

Gracias por tu aporte.

fastcom · 11-nov-2007, 19:18

Cita:

Iniciado por WebTech

Aquí va un pequeño aporte

Luego de usarlo por un par de años, creo que me ha resultado muy útil usarlo en los reportes diarios de sistemas. Cuando recién comencé en el mundo de los servidores Linux, me encontré con un par de líneas para buscar ejecutables, luego de eso decidí adaptarlas a mi gusto y el resultado fue este script.

Es un script que busca ejecutables en el talón de Aquiles de los servidores web (los directorios /tmp /var/tmp y /dev/shm), puede encontrar diría que cualquier ejecutable de variados lenguajes (perl, python, c, c++, bash, etc) en los directorios mencionados anteriormente. Si bien hay suites como CSF que traen este tipo de funcionalidades, hasta hoy no he visto nada más eficáz que este simple script en bash.

Solo lo he usado en servidores RedHat, Fedora, CentOS, y algún Suse, pero debería funcionar en la mayoría de las distribuciones.

Para descargarlo:

Código:

wget http://www.encuentroalternativo.com/descargas/compilerz.txt
mv compilerz.txt compilerz.sh
chmod +x compilerz.sh

Para ejecutarlo:

Código:

./compilerz.sh

Pueden ir un poco más lejos, y setear un cron que envíe este reporte a su email todos los días, así tendrán controlado de que no haya nada indeseable subido por script-kiddies.

Un ejemplo al encontrar ejecutables, en este caso, un script en bash y otro en perl:

Código:

[root@webtech:~]sh compilerz.sh 
Sus directorios temporales CONTIENEN SCRIPTS Y/O PROGRAMAS [ ATENCION ] 
-----------------------------------------------------------------------
/tmp/bash.sh: Bourne-Again shell script text executable
/tmp/lt.txt: perl script text executable
/var/tmp/bash.sh: Bourne-Again shell script text executable
/var/tmp/lt.txt: perl script text executable
[root@webtech:~]

Espero les sea igual de útil que a mi.

Saludos!

Muchas gracias por tu aporte! lo he instalado y probado.
Me aparece lo siguiente:

Cita:

root@server [~]# sh compilerz.sh
Sus directorios temporales CONTIENEN SCRIPTS Y/O PROGRAMAS [ ATENCION ]
-----------------------------------------------------------------------
/tmp/cpanel_phpengine.1190850948.4153VLpQKqZrKE: PHP script text
/tmp/cpanel_phpengine.1190920707.6710R11AcYBlnd: PHP script text
/tmp/cpanel_phpengine.1193443695.5695AYYxjxRwZu: PHP script text
/tmp/cpanel_phpengine.1193443698.5796tkWUwD78de: PHP script text
/tmp/cpanel_phpengine.1193443731.5844qukZ1fDSju: PHP script text
/tmp/cpanel_phpengine.1193443764.6010HmK4lI4Rly: PHP script text
/tmp/sess_1617d52de058cdd91cc4b6b81c73cc7d: ISO-8859 C++ program text, with very long lines, with CRLF line terminators
/tmp/sess_64a8c79dd4f20008c79d70aa4e2fe395: ASCII C++ program text, with very long lines, with CRLF line terminators
/tmp/sess_7b0809b86323764160f5a7fb3f35e71b: ISO-8859 C++ program text, with very long lines, with CRLF line terminators
/tmp/sess_84a0a99ebaf0158d7c6e129493e4e6a5: ISO-8859 C++ program text, with very long lines, with CRLF line terminators
/tmp/unban.AKEB6425: Bourne shell script text executable
/tmp/unban.Fbf19995: Bourne shell script text executable
/tmp/unban.IGI29511: Bourne shell script text executable
/tmp/unban.JQy20599: Bourne shell script text executable
/tmp/unban.MeJK9834: Bourne shell script text executable
/tmp/unban.qiw27570: Bourne shell script text executable
/tmp/unban.YIc19447: Bourne shell script text executable
/var/tmp/cpanel_phpengine.1190850948.4153VLpQKqZrKE: PHP script text
/var/tmp/cpanel_phpengine.1190920707.6710R11AcYBlnd: PHP script text
/var/tmp/cpanel_phpengine.1193443695.5695AYYxjxRwZu: PHP script text
/var/tmp/cpanel_phpengine.1193443698.5796tkWUwD78de: PHP script text
/var/tmp/cpanel_phpengine.1193443731.5844qukZ1fDSju: PHP script text
/var/tmp/cpanel_phpengine.1193443764.6010HmK4lI4Rly: PHP script text
/var/tmp/sess_1617d52de058cdd91cc4b6b81c73cc7d: ISO-8859 C++ program text, with very long lines, with CRLF line terminators
/var/tmp/sess_64a8c79dd4f20008c79d70aa4e2fe395: ASCII C++ program text, with very long lines, with CRLF line terminators
/var/tmp/sess_7b0809b86323764160f5a7fb3f35e71b: ISO-8859 C++ program text, with very long lines, with CRLF line terminators
/var/tmp/sess_84a0a99ebaf0158d7c6e129493e4e6a5: ISO-8859 C++ program text, with very long lines, with CRLF line terminators
/var/tmp/unban.AKEB6425: Bourne shell script text executable
/var/tmp/unban.Fbf19995: Bourne shell script text executable
/var/tmp/unban.IGI29511: Bourne shell script text executable
/var/tmp/unban.JQy20599: Bourne shell script text executable
/var/tmp/unban.MeJK9834: Bourne shell script text executable
/var/tmp/unban.qiw27570: Bourne shell script text executable
/var/tmp/unban.YIc19447: Bourne shell script text executable

¿Será seguro eliminar todo eso?

WebTech · 12-nov-2007, 14:38

Hola fastcom,

Este script solo te avisa, el resto del trabajo debes hacerlo tu, o sea, investigar, averiguar y estudiar qué hacen esos archivos allí, si son reales amenazas o si solo son falsas alarmas (que seguro vas a encontrar algunas falsas alarmas dada la naturaleza de los scripts que hay en las webs y su interacción con el servidor).

Así que solo investiga cada archivo que te muestra allí, si es una amenaza, trata primero antes de borrarlo, de saber desde donde fué subido, por quién y cómo hacer para que no suceda otra vez.

Saludos,

fastcom · 12-nov-2007, 17:31

Cita:

Iniciado por WebTech

Hola fastcom,

Este script solo te avisa, el resto del trabajo debes hacerlo tu, o sea, investigar, averiguar y estudiar qué hacen esos archivos allí, si son reales amenazas o si solo son falsas alarmas (que seguro vas a encontrar algunas falsas alarmas dada la naturaleza de los scripts que hay en las webs y su interacción con el servidor).

Así que solo investiga cada archivo que te muestra allí, si es una amenaza, trata primero antes de borrarlo, de saber desde donde fué subido, por quién y cómo hacer para que no suceda otra vez.

Saludos,

Perfecto gracias!