Home > Безпека, Кодинг > Система виявлення вторгнень AntiBdoor

Система виявлення вторгнень AntiBdoor

February 6th, 2010 Dimi4 Leave a comment Go to comments

AntiBdoor є безкоштовною, вузловою СВВ, з відкритим вихідним кодом (Host-based IDS, HIDS). Вона забезпечує аналіз цілісності файлів, виявлення потенційно небезпечних програм, активні заходи у відповідь на загрозу.

Для розробки системи використано технології PHP, SQL, XHTML, CSS, AJAX.

Центр адміністратора  складається з таких розділів :

  • Get detected alerts /вивести знайдені загрози/.
  • Check files /перевірка файлів/.
  • Exceptions /виключення/.
  • Crawl /Сканування/.
  • Search Shells /пошук вебшеллів /.
  • Options /налаштування/.

Центр Адміністратора

Get detected alerts. Дає можливість переглядати виявлені загрози. Показує шлях, md5-суму, дату виявлення модифікованого файлу. Існує можливість підтвердження того, що модифікація файлу безпечна.
Check files. Дозволяє провести перевірку файлів на ідентичність md5-сум, занесення виявлених загроз в БД. Схема роботи відповідальної функції – рис 5. Функція приймає вхідні дані, та перевіряє чи існує задана директорія. Якщо директорія існує, то здійснюється запис в масив назв усіх наявних в ній директорій та файлів, якщо ж не існує, то функція припиняє роботу. Далі здійснюється обрахунок контрольної суми першого файлу в масиві, порівняння її з  записом у базі. Якщо записи збігаються, функція обчислює контрольну суму наступного файлу в масиві, якщо ні – то перевіряється на наявність даної загрози в БД. Якщо інформація про загрозу існує в БД, функція переходить до наступного елементу масиву з назвами файлів, інакше створюється запис у БД про виявлення нової загрози.
Exceptions. Дозволяє задати виключення зі списку файлів. Вказані файли не будуть перевірятись на наявність загрози.
Crawl. Дозволяє заново сформувати список всіх файлів у заданій в опціях директорії.
Search Shells.  Модуль виявлення потенційно небезпечних сценаріїв (вебшеллів). Вебшелл – програма для віддаленого адміністрування серверів, часто написана на скриптових мовах програмування. Широко використовується серед зловмисників для редагування, перегляду та інфікування файлів на сервері. На даний момент модуль підтримує виявлення тридцяти різних вебшеллів.
Options. Редагування налаштувань системи таких як шлях моніторингу, ім’я користувача, електронна пошта користувача

Встановлення СВВ AntiBdoor v.1.0

Для інсталяції системи необхідно: web-сервер (рекомендовано Apache 2.2), PHP 5.2, MySQL 5.1. Забезпечується виявлення вторгнень для більшості операційних систем, включаючи Linux, OpenBSD, FreeBSD, Mac OS X, Solaris і Windows.

Крок 1. Перед встановленням необхідно відредагувати файл конфігурації config.php.  Перелік змінних та констант для редагування:

$mysql['server'] – адреса сервера БД (якщо не впевнені, залишити “localhost”);

$mysql['database'] – назва БД;

$mysql['user'] – ім’я користувача БД;

$mysql['password'] – пароль користувача БД;

$mysql['character'] – тип кодування, що буде використовувати система для зв’язку з БД. (якщо не впевнені, залишити “cp1251”);

PREFIX – префікс, що буде використаний при інсталяції для створення таблиць в БД (рекомендується використовувати унікальний, відмінний від «ab»).

Крок 2. Необхідно створити у корені сайту теку (наприклад AntiBdoor) та завантажте туди всі файли з архіву.

Крок 3. Перейти за адресою http://site/AntiBdoor/install.php. Вказати логін, пароль, e-mail, та шлях для моніторингу, наприклад C:\www\.

Крок 4. Видалити файл install.php. При використанні nix-подібних систем  варто добавити завдання на виконання перевірки кожні 15 хвилин (добавити в завдання cron рядок: */5 * * * * php /home/user/www/AntiBdoor/cron.php).

В подальших версіях планується:

• Розробити модуль точок відновлення, який забезпечить швидкісне відновлення втрачених, модифікованих чи інфікованих даних.

• Розширити кількість типів потенційно небезпечного програмного забезпечення для виявлення модулем  Search Shells.

• Запровадження евристичного методу пошуку загроз, що базується на аналізі вихідного коду файлів.

Завантажити – http://uasc.org.ua/files/AntiBdoor_v1.1.rar

Categories: Безпека, Кодинг Tags: , , , , ,
  1. 1vanu4
    February 8th, 2010 at 02:38 | #1
    Reply | Quote

    Діма молодець! Потрібний скріпт.

  2. Dimi4
    February 8th, 2010 at 20:20 | #2
    Reply | Quote

    дякую

  3. ZEXEL
    February 10th, 2010 at 20:28 | #3
    Reply | Quote

    Дуже потрібний модуль для сайтів.
    Користувач сповіщується на пошту,якщо знайдено угрозу на сайті ?
    Модуль сам знаходить всі файли та папки котрі задані для моніторингу ?

  4. Dimi4
    February 10th, 2010 at 20:44 | #4
    Reply | Quote

    Так, користувач буде повідомлений на електронну пошту.
    Звичайно, модуль формує список всіх файлів у заданій директорії

  1. No trackbacks yet.