Press "Enter" to skip to content

Antivírus em servidores Linux??

Engraçado como alguns conceitos mudam totalmente ao passar do tempo, principalmente quando alguns incidentes são os causadores destas mudanças.

Há algum tempo atrás e digo que isso não faz muito tempo, quando o assunto era instalar antivírus no Linux uma névoa negra encobria minha mente e o orgulho ou seria melhor dizer a ignorância incitava-me a questionar “POR QUE?” já que o Linux é totalmente imbatível.

Isso mudou após alguns eventos que acabaram mostrando a importância de termos um antivírus instalado e uma rotina diária de checagem do sistema.

Sempre é bom lembrar que apesar de todas as medidas de segurança adotadas no sistema, nunca podemos esquecer das vulnerabilidades nas aplicações. Algumas delas permitem a inserção de arquivos maliciosos ( eg backdoors ou bots ).

Existem backdoors escritos em php, asp, jsp, etc que permitem o controle total da máquina vitima, e o uso de um antivírus é fundamental na detecção e remoção destes malwares.

Vejam alguns exemplos de malwares detectados e removidos pelo Clamav:

./xxx.xxxx.xxx.br/xxxx/xoops_lib/modules/protector/s.txt: PHP.Remoteadmin-1 FOUND
./xxx.xxx.xxx.br/xxx/xoops_lib/modules/protector/sql/index.php/.Insiderz/xh: Hacktool.Fakeproc FOUND
./xxx.xxx.xxx.br/conepir/xoops_lib/modules/protector/sql/index.php/.Insiderz/nadya: Trojan.Eggdrop-117 FOUND
/xxx/xxx/xxx/xxx/xxx/xxxx/datacha0s.txt: PHP.Chaploit
/xxx/xxx/xxx/xxx/.X-un1x.2: Trojan.Perl.Shellbot-2

Estes arquivos são normalmente implantados no diretório /tmp com as permissões da aplicação. Em várias situações detectei alvos infectados conectando diversos servidores IRC formando botnets que derrubavam toda a infra da empresa.

Apartir dai passei a adotar uma rotina diária de checagem do /tmp a cada 05 min e do diretório /var/www/ uma vez ao dia, os resultados obtidos após estas medidas estão sendo bastantes satisfatórios.

Implementação

aptitude install clamav

Agendamento

crontab -e
*/5 * * * * clamscan -r –remove -l /var/log/clamav/scan_tmp.txt /tmp/
00 23 * * * clamscan -r –remove -l /var/log/clamav/scan_www.txt /var/www/

Existem também ferramentas para ajudar na localização de WEB Backdoors Shells.

Qual AV usar fica a seu critério, para mim o Clamav vem dando conta do recado. Existem diversas soluções no mercado, escolha a sua.

One Comment

  1. Elbert Cirino Elbert Cirino July 30, 2011

    Ótimo post Alex,congrats!!

    Estava eu montando um lab para análise automatizada de malware usando o ClamAV e outras ferramentas e percebi que o número de assinaturas para o mesmo ainda é pouca.
    Creio que falte mais interação da comunidade para a criação dessas assinaturas, principalmente de centros de pesquisa que possuem vários Honeypots espalhados. Até criei algumas para malwares nacionais, já que a maioria das assinaturas são para pragas estrangeiras.
    É um ótimo projeto! Mais uma vez, parabéns!

Comments are closed.