CXS: útil herramienta para detectar malware en servidores cPanel

malware

CSX es una herramienta desarrollada por ConfigServer.com, una empresa especializada en soluciones cPanel, que son además autores del famoso firewall CSF.

En esta ocasión nos encontramos con una herramienta de seguridad orientada a buscar exploits y código malicioso en ficheros y carpetas. Desde este artículo comentaremos sus funciones pricipales y atravesaremos el proceso de instalación y configuración.

Sus principales funciones son:

  • Detección de más de 4500 exploits (en adición a lo detectado por ClamAV)
  • Detección de virus desde ClamAV
  • Utilización de patrones de expresiones regulares para identificar exploits desconocidos
  • Nombres de archivos sospechosos
  • Detección de tipos de archivos sospechosos
  • Detección de binarios ejecutables sospechosos
  • Escaneo de archivos subidos al instante usando CXS Watch

Incluye también:

  • Interfaz Web para fácil administración
  • Utilización de crones para escaneos programados
  • Borrar los archivos infectados o agregarlos a la cuarentena

Precio

La licencia por servidor tiene un valor de $50 dólares y se paga una única vez, incluye manual de instalación, acceso a soporte desde el foro y por email, además de incluir updates de por vida. Muy barato teniendo en cuenta su gran utilidad.

Instalación

wget http://www.configserver.com/free/cxsinstaller.tgz
tar -xzf cxsinstaller.tgz
perl cxsinstaller.pl
rm -fv cxsinstaller.*

Configuración

La configuración del programa se realiza a través de WHM, en el apartado plugins encontraremos el enlace ConfigServer eXploit Scanner (cxs) y desde allí podremos configurarlo a gusto utilizando herramientas para registrar la actividad de busqueda de exploits, instalar crones o también integrar CXS para trabajar en conjunto ClamAV Antivirus

CXS integra un escaneo usando reglas de mod_security. Para activarlo necesitas agregar el siguiente código a tu archivo de configuración de mod_security:

SecRequestBodyAccess On
SecRule FILES_TMPNAMES "@inspectFile /etc/cxs/cxscgi.sh" \
"log,auditlog,deny,severity:2,id:'1010101'"
SecRequestBodyLimit 134217728

Para tomar los cambios, reiniciams httpd:

/etc/init.d/httpd restart

Otra opción para inspeccionar la subida de archivos es usando FTP, aquí editamos el archivo /etc/pure-ftpd.conf  y descomentamos la siguiente línea:

#CallUploadScript yes

Quedaría de esta forma:

CallUploadScript yes

Reiniciar pure-ftpd y pure-uploadscript:

/etc/init.d/pure-ftpd restart
/etc/init.d/pure-uploadscript restart

Si usas FreeBSD deberás agregar las siguientes líneas al archivo /etc/rc.conf y luego reiniciar el servicio:

pureftpd_enable="YES"
pureftpd_upload_enable="YES"
pureftpd_uploadscript="/etc/cxs/cxsftp.sh"

Todo listo, una vez hagas un scan, el resultado del análisis de CXS lucirá parecido a esto:

———– SCAN SUMMARY ———–

Scanned directories: 110
Scanned files: 793
Ignored items: 3
Suspicious items: 139
Data scanned: 16.09 MB
Scan time/item: 0.005 sec
Time: 3.123 sec
(31) Scanning /home/sitio:
# Symlink to [public_html]:
‘/home/sitio/www’
# Symlink to [/usr/local/apache/domlogs/sitio1]:
‘/home/sitio/access-logs’
# World writeable directory:
‘/home/sitio/public_html/admin/ss_4a4b2a4ad430′
# World writeable directory:
‘/home/sitio/public_html/images/thumbs’

1 Comentario

  1. Hola lo instale, una pregunta.
    Le di START CSX WATCH en WHM pero donde veo el escaneo ?
    Eso quiere decir que esta trabajando ?

    Con que comando podria escanear via SSH ?
    Ojala me puedas ayudar .
    Saludos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *