Контроль целостности файлов на сервере

[ScDewt]

Доброго дня!

Вопрос: какие есть системы контроля целостности файлов на сервере? какие можете посоветовать?

Проблема: по объективным и не очень причинам иногда сервер может быть взломан/заражен и бывают такие случаи что оставляется бэкдор в файлах сайта или прочая "инородная" фигня в файлах. Вот хотелось бы мониторить такие вещи (незаконные изменения файлов).

Что хотелось бы: грубо говоря - ПО стоящее на домашнем компе, которое коннектиться по ssh к серверу и сверяет контрольные суммы выбранных файлов/каталогов (понятно что логи и т.п. проверять на целостность не надо ) и в случае ахтунга рапортует (а лучше перенакатыает файлы из svn/локальной копии)

Поиск в гугле был не доскональным и возможно не по тем фразам - но ничего не принес, кроме простейших bash скриптов крутящихся на самом сервере.

 

[Linker]

Ерунда какая-то... То, что вы описали (незаконные изменения файлов) по сути есть ЧП, и автоматизировать исправление последствий этого ЧП нет никакого смысла, пока вы не устранили его причину. А устранив причину, можно и руками файлы перезалить из резервной копии, делов-то.

 

[c0dex]

Думаю, тут все же автору надо что-то на подобии "способа найти это ЧП", нежели сразу переписать файлы. Или все таки, автор, ты хочешь без закрывания дыры, закрыв глаза, переписать файлы?

 

[С.]

А кто будет контролировать, что по протоколу этого ПО не будет инсценирован фиктивный ахтунг и в процессе "восстановления" загружены зловредные файлы.

Поиск в гугле был не доскональным и возможно не по тем фразам - но ничего не принес

Ищи по слову "параноя"

 

[ScDewt]

Эм... да причем тут параноя?! Есть хостинг, назовем "говнохост за 5 баксов", на котором крутиться простенький сайт. Это не VDS, не дедик, а именно простой хостинг, где получив один фтп от любого сайта, можно чуть ли не получить доступ ко всем другим сайтам других пользователей. И бывает такое что заходишь, а у тебя в index.php js-код левый, или php-скрипты левые. Да можно купить дедик, да можно нанять админов и центр мониторинга и админить простенький сайт с посещением в 100-1000 уников в месяц . Ага. Можно еще самому вручyную все осматривать.

Мне нужно своевременно получить информацию о том что мои файлы кто то меняет без меня, будь то вирус, хацкер или божественная сила. Я понимаю что это ЧП и надо смореть, анализировать и принимать меры, но для начала мне надо своевременно получить инфу о ЧП, а не так что полдня у меня на сервисе висит чья то жопа, и я узнаю об этом от пользователей.

Зачем автоматизировать восстановление? У меня нет штата сотрудников, и я не все 24 часа у компа, я могу спать, срать и т.д. и хотелось бы чтобы измененные файлы какое то время "сопротивлялись" изменениям, пока я дотащу свой зад до компа.

p.s. но для начала - хотелось бы именно своевременно оповещение о ЧП. Возможно есть такой софт для мониторинга - но найти его пока у меня не получилось.

p.s.s. чотбы не разводить холивар относительно хостингов - "Как вы находите/понимаете что на вашем сервере есть "чужой" код/файлы"? И как быстро?!

 

[ScDewt]

А кто будет контролировать, что по протоколу этого ПО не будет инсценирован фиктивный ахтунг и в процессе "восстановления" загружены зловредные файлы.

Тааак, а есть ли ПО контролирующее целостность протокола другого ПО контролирующего целостность файлов..... Шучу я - шутки шуткую

Для того чтобы понять что на сервер раз в час/полчаса ходит что то и восстанавливает эти файлы, узнать что за ПО и какой протокол и прочую чухню для подделки - то тут надо хорошо постараться, а значит я кому то хорошо помешал/понадобился - а это лестно во-первых, а во вторых будет мне хорошим уроком. Но сейчас речь не о том - для началла бы найти это ПО.

 

[baev]

гугл/яндекс: «мониторинг файлов»

 

[ScDewt]

гугл/яндекс: «мониторинг файлов»

Спасибо за подробную информацию. Особенно полезно было услышать Ваш опыт работы с указанной Вами системой и подводные камни на которые наткнулись. Столько полезной информации

p.s. надеюсь я застану тот момент когда во всех темах везде вторым сообщением будет "ищи в гугл/яндекс" и гугл/яндекс всегда будут выдавать эти темы и наступит всемирный интернет-коллапс в результате длительной рекурсии - не воспримите всерьез - шутки это.

 

[С.]

Эм... да причем тут параноя?! Есть хостинг, назовем "говнохост за 5 баксов", на котором крутиться простенький сайт. Это не VDS

Добавь еще полбакса и возьми себе говноVDS. Это не будет тем самым мониторящим ПО, но результат будет такой же.
Хотя если тебе шашечки, то это другое дело.

 

[ScDewt]

Добавь еще полбакса и возьми себе говноVDS. Это не будет тем самым мониторящим ПО, но результат будет такой же.

Ок. Взял. Что изменилось? Умный хацкер нашел дырку в системе, оставил бэкдор, почистил следы - и как узнать что в системе инородное тело?

Хочется конечно верить что у всех сервера на 100% невозможно взломать и невозможно подсунуть "левый" код, а если это произодет то все хозяева телепатически об этом узнают, но тем не менее хотелось бы подстраховаться через ПО.

Понятное дело что от всего не застраховаться. И что рано или поздно бэкдор сам даст о себе знать и разработчик либо будет рад что сам нашел его оперативно либо рвать волосы на жопе что не нашел его раньше. Мне больше нравится первый варинат из двух. Потому и спросил.

 

[c0dex]

ScDewt
Анализ логов отменили?

 

[ScDewt]

Анализ логов отменили?

Нет. Согласен - возможно найти что то через логи, если их не подчистили за собой. НО как часто, к примеру, Вы анализируете логи?
Не хотелось бы просыпаться и начинать день с логов

p.s. может действительно у меня параноя Вообщем буду искать и гуглить... Если всеж кто-то что-то подобное юзает - то поделитесь хотя бы названием ПО или стороной куда копать.

 

[c0dex]

ScDewt
При чем тут подчистили, любая левая хрень, если ей пользуются, будет видна в access_log сервера. Нормальные люди делают анализаторы логов, которые пашут кроном в фоне каждый день. Но это уровень серьезных проектов

 

[rotoZOOM]

Для клиента написал скрипт, который запускается по крону, считывает свой конфигурационный файл, в котором указаны пути и маски файлов, которые надо контролировать, а так же мд5 хэши уже проверенных файлов.
Выполняется сканирование файлов, при любом несовпадении хэшей, наличии новых файлов или же отсутствия старых отправляется письмо админу с указанием какие именно файлы подверглись изменению.
Инициализация (составление хэшей) осуществляется запуском этого же скрипта со спец. ключиком.
Скрипт работает на сервере где-нибудь глубоко зарыт, и название файла непримечательное.
Это было сделано, в виду инцидента похищения ftp (ssh) пароля и выставления на страницах вредоносного javascript'a в шаблон страницы, о котором стало известно тока "благодаря" блокировке сайта яндексом, с указанием того, что "у вас на сайте вирус".
Конечно, сразу пароль был сменен и файлы почищены, но "осадочек" остался.
Настоящей защитой это назвать трудно, но, как говорят автомобилисты - "сигналка - защита от наркоманов", настоящие профессионалы все равно раскусят и хакнут, а вот тут на сцену выходит неуловимый Джо.

 

[ScDewt]

rotoZOOM
Большое спасибо! Хоть кто то ответил по существу.

...в виду инцидента похищения ftp (ssh) пароля и выставления на страницах вредоносного javascript'a в шаблон страницы, о котором стало известно тока "благодаря" блокировке сайта яндексом, с указанием того, что "у вас на сайте вирус"

Вот аналогично хочу защититься "от наркоманов", потому и ищу ПО. Но чувствую что буду делать так же как описано Вами.

 

[nilt]

@rotoZOOM, @rotoZOOM,

Для клиента написал скрипт, ***

можно ли как-то заполучить этот скрипт? Справится ли он с кол. фалов больше 100к?

 

[AnrDaemon]

http://project.rootdir.org/.offload/avguard.rar

 

[Redjik]

о боги, на баше скриптик пишется за 5 минут
коннектишься - делаешь git status, смотришь, что хеш коммита такой же как хеш в мастере, если нет и есть левые файлы:
git checkout -B origin master

 

[AnrDaemon]

Гит на продакшене?… Нуну.

 

[Breeze]

Гит на продакшене?… Нуну.

да, настоящий продакшен должен содержать голую ОС, быть отключен от сети и вообще выключен