CSX es una herramienta desarrollada por ConfigServer.com, una empresa especializada en soluciones cPanel, que son además autores del famoso firewall CSF.
En esta ocasión nos encontramos con una herramienta de seguridad orientada a buscar exploits y código malicioso en ficheros y carpetas. Desde este artículo comentaremos sus funciones pricipales y atravesaremos el proceso de instalación y configuración.
Sus principales funciones son:
- Detección de más de 4500 exploits (en adición a lo detectado por ClamAV)
- Detección de virus desde ClamAV
- Utilización de patrones de expresiones regulares para identificar exploits desconocidos
- Nombres de archivos sospechosos
- Detección de tipos de archivos sospechosos
- Detección de binarios ejecutables sospechosos
- Escaneo de archivos subidos al instante usando CXS Watch
Incluye también:
- Interfaz Web para fácil administración
- Utilización de crones para escaneos programados
- Borrar los archivos infectados o agregarlos a la cuarentena
Precio
La licencia por servidor tiene un valor de $50 dólares y se paga una única vez, incluye manual de instalación, acceso a soporte desde el foro y por email, además de incluir updates de por vida. Muy barato teniendo en cuenta su gran utilidad.
Instalación
wget http://www.configserver.com/free/cxsinstaller.tgz tar -xzf cxsinstaller.tgz perl cxsinstaller.pl rm -fv cxsinstaller.* |
Configuración
La configuración del programa se realiza a través de WHM, en el apartado plugins encontraremos el enlace ConfigServer eXploit Scanner (cxs) y desde allí podremos configurarlo a gusto utilizando herramientas para registrar la actividad de busqueda de exploits, instalar crones o también integrar CXS para trabajar en conjunto ClamAV Antivirus
CXS integra un escaneo usando reglas de mod_security. Para activarlo necesitas agregar el siguiente código a tu archivo de configuración de mod_security:
SecRequestBodyAccess On SecRule FILES_TMPNAMES "@inspectFile /etc/cxs/cxscgi.sh" \ "log,auditlog,deny,severity:2,id:'1010101'" SecRequestBodyLimit 134217728 |
Para tomar los cambios, reiniciams httpd:
/etc/init.d/httpd restart |
Otra opción para inspeccionar la subida de archivos es usando FTP, aquí editamos el archivo /etc/pure-ftpd.conf y descomentamos la siguiente línea:
#CallUploadScript yes |
Quedaría de esta forma:
CallUploadScript yes |
Reiniciar pure-ftpd y pure-uploadscript:
/etc/init.d/pure-ftpd restart /etc/init.d/pure-uploadscript restart |
Si usas FreeBSD deberás agregar las siguientes líneas al archivo /etc/rc.conf y luego reiniciar el servicio:
pureftpd_enable="YES" pureftpd_upload_enable="YES" pureftpd_uploadscript="/etc/cxs/cxsftp.sh" |
Todo listo, una vez hagas un scan, el resultado del análisis de CXS lucirá parecido a esto:
———– SCAN SUMMARY ———–
Scanned directories: 110
Scanned files: 793
Ignored items: 3
Suspicious items: 139
Data scanned: 16.09 MB
Scan time/item: 0.005 sec
Time: 3.123 sec
(31) Scanning /home/sitio:
# Symlink to [public_html]:
‘/home/sitio/www’
# Symlink to [/usr/local/apache/domlogs/sitio1]:
‘/home/sitio/access-logs’
# World writeable directory:
‘/home/sitio/public_html/admin/ss_4a4b2a4ad430′
# World writeable directory:
‘/home/sitio/public_html/images/thumbs’
Hola lo instale, una pregunta.
Le di START CSX WATCH en WHM pero donde veo el escaneo ?
Eso quiere decir que esta trabajando ?
Con que comando podria escanear via SSH ?
Ojala me puedas ayudar .
Saludos.