[FUG-BR] Auditoria em diretórios FreeBSD

Renato Sousa rensousa em gmail.com
Sábado Fevereiro 9 15:59:07 BRST 2013


Olá Carlos,

Gostei do mtree, mas não entendi direito o funcionamento...
Ele gera assinatura dos arquivos apartir do diretório fornecido e compara
as mudanças ?
Vou fazer alguns testes com ele.

Renato

Em 9 de fevereiro de 2013 15:41, Carlos Eduardo G. Carvalho (Cartola) <
cartoleba em gmail.com> escreveu:

> Dei uma olhada por alto no script Adonai. Não analisei muito, mas há muitos
> anos atrás, quando precisei disso, usei também o mtree.
> http://www.freebsd.org/cgi/man.cgi?query=mtree&sektion=8
>
> Abs,
>
>
> Carlos E G Carvalho (Cartola)
> http://cartola.org/360
> http://www.panoforum.com.br/
>
>
> Em 9 de fevereiro de 2013 15:29, Adonai Silveira Canez <
> adonaicanez em gmail.com> escreveu:
>
> > Em 9 de fevereiro de 2013 15:12, Renato Sousa <rensousa em gmail.com>
> > escreveu:
> >
> > > Boa tarde a todos,
> > >
> > > Tenho um server FBSD rodando apache e algumas aplicações PHP.  Há algum
> > > tempo o site foi atacado e percebi diversos arquivos maliciosos nos
> > > diretórios da aplicação PHP.
> > > Reinstalei a aplicação, atualizei e coloquei o site no ar novamente.
> > >  Agora, quero observar todas as alterações feitas no diretório da
> > aplicação
> > > PHP para que eu possa detectar mais rapidamente o comprometimento da
> > > aplicação.
> > > Há algum tempo lembro-me de ter testado uma ferramenta nativa no
> FreeBSD
> > > que deixa os logs em /var/audit (se não me engano!!!), mas ele não
> fazia
> > a
> > > verificação apenas de um diretório em particular.  O que vocês me
> > sugerem ?
> > > Não precisa ser um IDS complexo, apenas uma aplicação que detecta
> > > alterações apartir de um subdiretório e informa via email.
> > >
> > >
> > > Abraços,
> > >
> > > Renato
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> >
> >
> > Renato, eu fiz um script em shell que monitora as alterações dentro do
> meu
> > site, será que isso não te serve?? dá uma olhada no script
> >
> >
> http://www.adonai.eti.br/wordpress/2012/11/script-para-identificar-invasoes-em-sites/
> >
> > Adonai
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


Mais detalhes sobre a lista de discussão freebsd