[FUG-BR] Auditoria em diretórios FreeBSD

Carlos Eduardo G. Carvalho (Cartola) cartoleba em gmail.com
Sábado Fevereiro 9 17:49:48 BRST 2013


Oi Renato,

desculpe, mas eu realmente não lembro exatamente como ele funciona, pois
usei pouco e há muitos anos. O que lembro é que ele é pouco óbvio mas bom.
Achei esse link aqui agora, que parece ilustrar o uso justamente para o que
você quer:

http://www.techrepublic.com/blog/security/use-mtree-for-filesystem-integrity-auditing/283

Abs!


Carlos E G Carvalho (Cartola)
http://cartola.org/360
http://www.panoforum.com.br/


Em 9 de fevereiro de 2013 15:59, Renato Sousa <rensousa em gmail.com> escreveu:

> Olá Carlos,
>
> Gostei do mtree, mas não entendi direito o funcionamento...
> Ele gera assinatura dos arquivos apartir do diretório fornecido e compara
> as mudanças ?
> Vou fazer alguns testes com ele.
>
> Renato
>
> Em 9 de fevereiro de 2013 15:41, Carlos Eduardo G. Carvalho (Cartola) <
> cartoleba em gmail.com> escreveu:
>
> > Dei uma olhada por alto no script Adonai. Não analisei muito, mas há
> muitos
> > anos atrás, quando precisei disso, usei também o mtree.
> > http://www.freebsd.org/cgi/man.cgi?query=mtree&sektion=8
> >
> > Abs,
> >
> >
> > Carlos E G Carvalho (Cartola)
> > http://cartola.org/360
> > http://www.panoforum.com.br/
> >
> >
> > Em 9 de fevereiro de 2013 15:29, Adonai Silveira Canez <
> > adonaicanez em gmail.com> escreveu:
> >
> > > Em 9 de fevereiro de 2013 15:12, Renato Sousa <rensousa em gmail.com>
> > > escreveu:
> > >
> > > > Boa tarde a todos,
> > > >
> > > > Tenho um server FBSD rodando apache e algumas aplicações PHP.  Há
> algum
> > > > tempo o site foi atacado e percebi diversos arquivos maliciosos nos
> > > > diretórios da aplicação PHP.
> > > > Reinstalei a aplicação, atualizei e coloquei o site no ar novamente.
> > > >  Agora, quero observar todas as alterações feitas no diretório da
> > > aplicação
> > > > PHP para que eu possa detectar mais rapidamente o comprometimento da
> > > > aplicação.
> > > > Há algum tempo lembro-me de ter testado uma ferramenta nativa no
> > FreeBSD
> > > > que deixa os logs em /var/audit (se não me engano!!!), mas ele não
> > fazia
> > > a
> > > > verificação apenas de um diretório em particular.  O que vocês me
> > > sugerem ?
> > > > Não precisa ser um IDS complexo, apenas uma aplicação que detecta
> > > > alterações apartir de um subdiretório e informa via email.
> > > >
> > > >
> > > > Abraços,
> > > >
> > > > Renato
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > >
> > >
> > > Renato, eu fiz um script em shell que monitora as alterações dentro do
> > meu
> > > site, será que isso não te serve?? dá uma olhada no script
> > >
> > >
> >
> http://www.adonai.eti.br/wordpress/2012/11/script-para-identificar-invasoes-em-sites/
> > >
> > > Adonai
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


Mais detalhes sobre a lista de discussão freebsd