• خانه
  • مشتریان ما
  • نمونه کارها
  • مقالات
  • آنالیز
  • خدمات
  • استخدام
  • درباره ما
  • تماس با ما
  • اخبار


همه چیز در مورد CXS 

ConfigServer eXploit Scanner ابزاری پویشگر  قوی و امنیتی است . CXS  که محصول شرکت ConfigServer است از اجرای فایل‌های مخرب مانند شل و ابزار های هک سرور جلوگیری میکند . CXSروی  سرورهایی با سیستم‌عامل CentOS به‌ همراه کنترل‌ پنل DirectAdmin یا cPanel نصب میشود به صورت کاملا روان و بدون ایجاد فضایی سنگین از ورود و اجرای فایل‌های مخرب جلوگیری می‌نماید.

مهمترین ویژگی‌های CXS ، قابلیتی به نام Realtime Monitoring یعنی بررسی و مانیتور لحظه به لحظه سرور است. با فعال کردن و پیکر بندی مناسب ویژگی CXS Watch Daemon، در صورت آپلود فایل مخرب ، فایل به سرعت حذف یا قرنطینه و گزارش آن برای مدیر سرور ایمیل میشود.

برخی از قابلیت‌های  CXS 

  1. بررسی و مانیتور کردن لحظه به لحظه
  2. شناسایی فایل های مخرب
  3. شناسایی فایل مخرب براساس نام و نوع فایل                     
  4. شناسایی فایل‌های باینری قابل اجرا
  5. شناسایی و ارسال گزارش در مورد حملات
  6. همگام سازی با آنتی ویروس قدرتمند ClamAV 
  7. همگام سازی با فایروال
  8. آنالیز و ارسال گزارش در صورت دیدن فعالیت مشکوک فایل‌ها
  9. قابلیت زمان بندی اسکن فایل‌ها                                       
  10. تنظیم اسکن با cron
  11. شناسایی فایل‌های مخرب باینری
  12. هماهنگی با ModSecurity
  13. شناسایی نسخه‌های قدیمی CMSهای معروف (مانند WordPress, Joomla, osCommerce , Drupal) و ارسال گزارش به مدیر.

جهت نصب CXS در دایرکت ادمین از دستورات زیر استفاده نمایید  :

در ابتدا یک ایمیل معتبر جایگزین security@domain.com نمائید .

echo -e "CXS Simple Auto Installer - security@domain.com "

yum -y install perl-Archive-Tar perl-Archive-Zip.noarch  perl-Crypt-SSLeay.x86_64 perl-Time-HiRes.x86_64

 wget http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm

 rpm -ivh epel-release-6-8.noarch.rpm

 yum -y install perl-Linux-Inotify2

در صورتی که دستورات بالا با خطا مواجه شد از دستورات جایگزین زیر استفاده کنید.

yum install cpan

 cpan -i Archive::Zip

 cpan -i Archive::Tar

 wget http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm

 rpm -Uvh epel-release-6*.rpm

 yum install perl-Linux-Inotify2

جهت نصب CXS  از دستور زیر استفاده نمایید .

wget http://download.configserver.com/cxsinstaller.tgz

 tar -xzf cxsinstaller.tgz

 perl cxsinstaller.pl

 rm -fv cxsinstaller.*

 cd /etc/cxs/

 ln -s cxsdaily.sh /etc/cron.daily/

 nano /etc/cron.d/daily-cxs

کد زیر را در فایلdaily-cxs ذخیره کنید با این کد هر روز ساعت ۴ صبح فایل هایی که طی ۴۸ ساعت گذشته تغییر کرده است را بررسی میکند و نتیجه آن ایمیل خواهد شد. 

0   4   *    *   *   root  /usr/sbin/cxs --logfile /var/log/cxs.log --mail security@iranserver.com

 --exploitscan --virusscan --sversionscan --bayes -I /etc/cxs/cxs.ignore -Q /etc/cxs/quarantine

 --options   mMOLfSGchexdnwZRD --voptions mfuhexT --qoptions Mv -Z --www --summary --html

 --ssl -C /var/clamd --nofallback -T 5 --ctime 48 --allusers --quiet

در انتها دستورات زیر را اجرا کنید.

برای CENTOS6 از دستورات زیر استفاده میکنیم

chkconfig cxswatch on

 /etc/init.d/cxswatch start

برای CENTOS7 از دستورات زیر استفاده میکنیم 

systemctl enable cxswatch.service

systemctl start cxswatch.service

rm -rf /etc/cxs/cxs.restricted

پس از نصب با دستور cxs –allusers  میباست بررسی کنید که خطایی در حین اسکن بوجود نیامده باشد .

بعد از نصب در صورتی که موقع اسکن توسط CXS با خطای ClamAv Scanner is Disabled روبرو شدید در CXS در کادر مربوط به ClamAV clamd socket عبارت زیر را قرار دهید.

/tmp/clamd.socket

در صورتی که در زمان اسکن در CXS با پیغام Unable to connect to clamd, virus scanning disabled مواجه شدید فایل زیر را باز کنید.

nano /etc/clamd.conf

و # مربوط به خط زیر را بردارید.

LocalSocket /tmp/clamd.socket

درصورت عدم رفع مشکل clamd را مجدد نصب یا بروزرسانی نمائید.

حذف cxs

با اجرای دستورات زیر می توانید cxs را حذف کنید.

cd /etc/cxs

sh unistall.sh

با اجرای دستورات زیر می توانید cxs را بروزرسانی کنید.

cxs -U

بررسی آلوده بودن فایل ها با  cxs :

جهت اسکن فایل های سایت از دستور زیر استفاده کنید:

Cxs  --user  useraccount

براساس نتیجه خروجی لاگ  قابل تشخیص خواهد بود که بعنوان مثال وردپرس یا پلاگینی نیاز به آپدیت دارد.

فایلهای قرنطینه شده را  در مسیر   زیر می توانید مشاهده کنید:

cd /etc/cxs/Quarantine/cxsuser/username

نام اکانت را جایگزین username نمائید.

در صورتیکه نیاز به بازگردانی فایل قرنطینه ای وجود داشت از دستور زیر استفاده کنید:

cxs –qrestore  [File]


اقدامات لازم پس از اسکن

پس از scan نیاز است فایل های آلوده پاکسازی یا جایگزین شوند.

بعد از اقدامات انجام شده مجدد برای اطمینان با cxs  سایت را مجدد اسکن کنید.

محیط گرافیکی cxs در دایرکت ادمین:

درصورتیکه که کار با ssh و دستورات لینوکس بنظرتون دشوار هست می تونید از محیط گرافیکی که پس از نصب از طریق کنترل پنل دردسترس هست، استفاده کنید.

پس از نصب cxs در دایرکت ادمین از طریق محیط گرافیکی ConfigServer eXploit Scanner  مطابق تصویر زیر می توانید cxs  را مدیریت نموده و آن را فعال/غیرفعال/ریست نمائید.

منوی  CXS

و همچنین فایل های قرنطینه شده مرتبط با هر یوزر را مشاهده نموده، آن ها را بازگردانی یا حذف نمائید.

بدین منظور پس از ورود به کنترل پنل و وارد شدن به قسمت   ConfigServer eXploit Scanner  گزینه Quarantine را انتخاب کنید.

در صفحه باز شده View Quarantine را انتخاب کنید.

قرنطینه با  CXS

سپس نیاز است یوزر مورد نظر را انتخاب View Quarantine user را انتخاب کنید.

لیست فایل های قرنطینه شده اکانت مورد نظر لیست شده و شما می توانید مسیر فایل و محتوای آن را مشاهده و در صورت نیاز آن را بازگردانی (Restore) و یا حذف (Delete) نمائید.

یک فایل قرنطینه شده

دستورات پرکاربرد cxs

در زیر نیز لیستی از پرکاربردترین دستورات  cxs ذکر شده است.

جهت اسکن یک یوزر خاص از دستور زیر استفاده نمائید :a

cxs --user USERNAME

جهت اسکن تمام یوزرها از دستور زیر استفاده نمائید:

cxs --allusers

جهت اسکن یک فایل از دستور زیر استفاده نمائید:

cxs /path of the file

 cxs /home/USERNAME/public_html/xmlrpc.php

جهت اسکن در حالت کنترل load سرور  از دستور زیر استفاده نمائید:

cxs -T [num]

جهت اسکن در background  از دستور زیر استفاده نمائید:

cxs -B

جهت ارسال گزارش فایل مخرب جدید به دیتابیس cxs  از دستور زیر استفاده نمائید:

cxs --wttw [filename]

جهت اسکن کردن تنها از public_html و دایرکتوری ها داخلی آن  از دستور زیر استفاده نمائید:

cxs --www [file]

جهت پیوست کردن log نتیجه اسکن به یک فایل خاص  از دستور زیر استفاده نمائید:

cxs --logfile [file]

جهت حذف فایل های قرنطینه شده   از دستور زیر استفاده نمائید:

cxs –D


برچسب ها
CXS چیست