¿Aparecen archivos inusuales en su servidor? ¿Se pregunta cómo encontrar archivos PHP o ASP agregados o modificados sin su conocimiento? Aquí te muestro un truco sencillo para detectar este tipo de intrusiones.
Sabiendo que un sitio web contiene más de cientos de archivos almacenados en docenas de carpetas, revisar todos los archivos del sitio y leer los cientos de líneas de código/archivo para detectar posibles códigos nuevos es absolutamente imposible.
Sin embargo, ¿cómo se las arregla para monitorear de manera estructurada que tal o cual archivo no ha sido modificado en su servidor?
Aquí es donde les presentaré la herramienta: AIDE (Entorno avanzado de detección de intrusiones).
Este software le permite monitorear la integridad de un sistema comparando todos los archivos con una base de datos de archivos creada previamente.
El principio de AYUDA es simple. Esto implica crear una especie de base de datos de firmas de todos los archivos de su servidor. La ayuda creará una base de datos de firmas utilizando algoritmos de huellas dactilares de archivos criptográficos. Periódicamente, la AIDE recalculará las huellas dactilares de los archivos, que pueden cambiar periódicamente, para tener una base de datos de firmas constantemente actualizada.
Si las huellas digitales son diferentes (a nivel de archivo, su fecha, sus derechos de acceso, etc.), el software detectará una modificación del archivo y notificará al administrador por correo electrónico o archivo de registro dependiendo de la configuración que haya configurado.
¿Cómo instalar y utilizar AIDE (Linux – Debian)?
1) Para instalar HELP, escriba el siguiente comando:
2) Luego especificaremos qué archivos y elementos monitorear editando el archivo de configuración aid.conf.
Ejemplo de la línea: / sbin p + u + md5
Con esta línea, AIDE verificará los derechos (p), el propietario (u) y la suma Md5 de los archivos en el árbol / sbin.
El MD5 le permite calcular un hash en sus archivos. Si estos archivos se cambian aunque sea un poco, el hash será completamente diferente.
Para encontrar su archivo de configuración, puede usar el comando de búsqueda de la siguiente manera:
3) Luego, debe crear la base de datos dada que contendrá las huellas digitales de los archivos. Este paso puede llevar unos buenos diez minutos.
Nuestra base de datos ya está creada. Como la base de datos también puede ser modificada por el hacker desagradable, le recomiendo que coloque esta base de datos en una memoria USB.
Estudio de caso:
Finalmente para probar nuestro script, ejecutamos el siguiente comando para verificar la integridad de los archivos indicados en los archivos de configuración:
Si su archivo de configuración se encuentra en otro lugar, puede especificarlo así:
¡Y allí, como por arte de magia, enumera los archivos que se han modificado! 🙂
Por lo tanto podemos ver que la AIDE ha detectado los cambios que se han producido. Por supuesto, es posible automatizar estas acciones gracias a CRON e incluso recibir notificaciones por correo electrónico. Para correos electrónicos, es necesario iniciar el demonio sendmail e instalarlo si no está presente en la máquina:
# /etc/init.d/
# inicio de sendmail
