راهنمايي در مورد Suspicious File Alert

[alireza88]

هزينش كه 100 دلاره كه خودش شامل تنظيماتشم ميشه. ميخوام ببينم كسي استفاده كرده؟ و ميتونه برامون پرداخت كنه؟؟
بعد گزينه ي ديگه اي هم شما ميشناسيد نو اين زمينه؟
حالا رايگان يا غير رايگان

[Talahost.Com]

نیازی به exploit scanner نیست. چون فقط exploit های شناخته شده رو پیدا می کنه. یه چیزی مثل آنتی ویروس که طبق فایل ها و دیتابیسی که داره ویروس رو پیدا می کنه.
جای این برنامه ها باید سرورتون رو امن کنید.
اگه پنل سی پنل هست و نیاز به امنیت دارید می تونیم براتون انجام بدیم.

[alireza88]

بله ممنون . سيپنل هست . در حال حاظر scf و انتي ويروس خود سيپنل فعاله . چند تا فانكشن هاي پي اچ پي هم بستم تا اونجا كه مطالبش بوده و ميشه گفت يه امنيت بيسيك ايجاد شده. ميخواستم بدونم شما ميخوايد چه موارد ي رو انجام بدين و هزينه اش رو هم بفرماييد البته

---------- Post added at 03:28 PM ---------- Previous post was at 03:24 PM ----------

اضافه کردن به mod security
این خیلی کمک میکنه و بیشتر شل ها رو بلاک میکنه

SecRule RESPONSE_BODY "r57shell - http-shell by RST/GHC"
SecRule RESPONSE_BODY "/* (c)oded by 1dt.w0lf"
SecRule RESPONSE_BODY "/* RST/GHC http"
SecRule RESPONSE_BODY "x2300 Locus7Shell"
SecRule RESPONSE_BODY "UNITED ALBANIANS aka ALBOSS PARADISE"
SecRule RESPONSE_BODY "C99 Modified"
SecRule RESPONSE_BODY "c999shell v."
SecRule RESPONSE_BODY "RootShell Security Group"
SecRule RESPONSE_BODY "Modded by Shadow & Preddy"
SecRule RESPONSE_BODY "Owned by hacker

دوستان اينارم پيدا كردم اما دقيقا نميدونم كجا بايد قرار بدم در Mod Security؟؟؟؟

[Talahost.Com]

نصب آنتی ویرویس و csf هیچ دردی رو دوا نمی کنه. باید تنظیم باشند.
آنتی ویروس که کلا بی خیال! چون با یه base64 و eval می شه اونو دور زد!!

تنظیماتی که ما انجام می دیم، تنظیم دسترسی های کاربران و پوشه ها و فایل های سرور (که این از همه چیز مهم تره)، تنظیماتی برای کاهش ddos، امن کردن php و perl، (البته لزوما php.ini غیرفعال نمی شه!)، rebuild آپاچی برای تنظیمات بهتر و کارهای جزئی و غیرجزئی دیگر.
هزینه هم 50 تومن هست.

اگه مایل هستید کلیک کنید!

[secure_host]

اون كاري كه گفتيد و كه اتفاقا انجام دادم و چند تا موردم پيدا كرد .. ولي اين ايميلها هنوز ادامه دارن... من php.ini رو تازگي غير فعال كردم ولي قبلا باز بوداين شلا هم از قبلا هستش . نظرشما در مورد ConfigServer eXploit Scanner چيه؟

با سلام
بسیار عالی است و به مدیران هاستینگ پیشنهاد می شود.
به این صورت نیست که فقط webshell های شناخته شده را شناسایی کنه !!
با توجه به ساختار webshell ها شناسایی می کند .و همچنین اگر eval و base64 باشد fingerprint این فایل را با fingerprint وب شل ها بررسی می کند و در صورت تطبیق report را ارسال میکند .

[alireza88]

ممنونم در مورد پست قسمت دوم پست 13 هم راهنمايي ميفرماييد؟.

[secure_host]

با سلام
این چند تا rule برای mod_security است که باید این مقادیر را در قسمت Default Configuration مربوط به Mod_Security اضافه کنید.
عکس ضمیمه شده است.

[alireza88]

Time: Thu Oct 14 16:12:21 2010 +0400
File: /tmp/.wapi
Reason: Suspicious directory
Owner: nobody:nobody (99:99)
Action: Moved into /etc/csf/suspicious.tar

اين ايميل متاوبا همچنان براي من ارسال ميشه .. كسي پيشنهادي نداره؟؟؟

[vPsPersia.COM]

یک آنتی ویروس دیگه نصب کن ، به اسم AVG

بعد با اون هم SCAN کن ،ببینیم شاید اون چیزی پیدا کرد


شما لاگ های MOD_SEcuri ty رو بخون ببنی چیزی خاصی پیدا نمی کنی؟

[alireza88]

اقا ممنون avg رو من نصب و آپديت كردم وگذاشتم با دستوراي avgscan -H / يا avgscan --heur اسكن كرد اما جز به خود فايلهاي clamav كه پيغام زيرو داد

/usr/local/cpanel/modules-install/clamavconnector-Linux-i686/clamav-0.96.3/test/clam-aspack.exe Trojan horse Generic12.BRVU

و تروجان شناخت بقيه رو

Object scan failed; Specified file was not found.

اين پيغام و داد...


لاگهاي MOD_SEcuri ty رئ بايد از كجا ببينم؟
اگر منظورتون تو سيپنل و قسمت Mod Security اون جدول پايين هست . اونجا هيچي ننوشته..