Изглежда обещаващо ...
От: Eroл
На: 20-01-2011@14:21 GMT+2
Оценка: 1/НеутраленС удоволствие ще го пробвам довечера.
[Отговори на този коментар]
Към: Изглежда обещаващо ...
От: shadowx <shadowx __@__ escom__dot__bg>
На: 20-01-2011@14:56 GMT+2
Оценка: 1/НеутраленРадвам се, че мислиш така.
Да отбележа обаче ,че това е алфа весия и е доста възможно (да не кажа сигурно),че може да има бъгчета :) А и все още няма функционалността която искам да има , но - скоро :)
п.с.: дефакто това е доста елементарен софтуер, ще се радвам на всякакви коментари, критики, забележки, идеи и тнт :)
[Отговори на този коментар]
0.1a3
От: shadowx
На: 20-01-2011@17:40 GMT+2
Оценка: 2/Информиращ
Malko greshki v neshta koito napisah posledni i qvno ne sym testval ... ta 0.1a3 sa nqkolko fix-a. Sorry :/
[Отговори на този коментар]
Интересно
От: gat3way
На: 20-01-2011@22:06 GMT+2
Оценка: 1/НеутраленИнтересно, едно време ми беше минала такава идея през главата, даже се бях хванал да пиша подобно нещо:
http://bit.ly/hPfSqi
Но се отказах. Бях му направил прилична база с pattern-и, по които да match-ва. В крайна сметка обаче винаги може да се излъже. В един момент започна да дава false positives заради прекалено прекрасните правила, та се случваше да вкарвам нормални файлове в карантина (при мен имаше няколко варианта - или се трият, или се презаписват с предупреждение, или се местеха в "карантина" демек директория извън documentroot).
Отделно се появиха други проблеми с race conditions - примерно създаваш един файл и много бързо го преименуваш или местиш и понякога дори това беше достатъчно да излъжеш програмата, тези бози ги оправях много време. Но нещото, което накрая ме отказа беше че това спокойно можеше да се използва за да DoS-неш машината - понеже вдигах нишкa за всеки нов alert, достатъчно беше да стовариш наведнъж повечко файлове и смазваш машината доволно. Това не е нерешимо, обаче толкова много частни случаи преляха чашата и го отебах.
Като цяло, има много предизвикателства такава идея, дано да не ти писне да ги решаваш (както на мен). Не може да реши генерално проблема със злия код в docroot-а, но може да вгорчи живота на тези, които се опитват да го качват :)
[Отговори на този коментар]
Към: Интересно
От: shadowx <shadowx__at__escom __точка__ bg>
На: 21-01-2011@9:27 GMT+2
Оценка: 2/Информиращ
Не ми е останало време да го направа и 2рия режим на работа, в който само да казва , без да мести нищо. Относно false positives ...неизбежни да, затова добавих exclude лист, с рег.експр. (който е много полезен и за cache папки)
Относно race conditions, имам на моменти същия проблем (главно защото за да хвана създаването на нови папки и за да мога да наблщдавам и във тях след създаването им , се наложи да добавя IN_CREATE събитието, което някой път ми дава двойно събитие , пример : IN_CREATE , и секунда след това IN_CLOSE _WRITE ... ) но това дефакто не пречи на работата на демончето, защото съм вкарал проверките в try/except и ако гръмне, просто ще продалжи със следващия.
Нарочно съм направил предаването на новите/редактираните файлове през Queue , защото от една страна се явява като mutex , от друга би олеснило евентуалното добавяне на няколко thread-а който да правят анализа.
Така , весия 0.1б вече е напълно използваема , ще се радвам за всякакви критики,коментари,идеи ...за такива - моля пишете ми мейлче :)
Както gateway каза , това не гарантира защита , но наистина може силно да вгорчи живота на псевдо super mega giga tera l33t h4x0rz.
Иначе препоръчвам да комбинирате скрипт-а с един баш на кронтаб , който да минава един път дневно и да сканира и логва всички файлове създадени последните 24 чава и да ги преглеждате за неща който malmon е пропуснал... и също така , добра идея е (ако е възможно разбира се , не навсякаде може да се ползва ) да моунтвате партишъна с docroot-a с noexec и nosuid параметри... нека им е по-гадно на l33t h4x0rz.
М/у другото изтесвах malmon прилично натоварен сървър и дори не се забеляза промяна, така,че спокойно мога да кажа, че ресурси почти не яде.
[Отговори на този коментар]
Към: Към: Интересно
От: gat3way
На: 21-01-2011@22:29 GMT+2
Оценка: 1/НеутраленНе знам как си си организирал кода, но ще ти предложа следният тест (който лично мен ме отказа да се занимавам с това):
* създаваш един zip архив с няколко хиляди злонамерени файла в поддиректория
* качваш го
* unzip-ваш го
Ако след последната операция, CPU utilization-а ти не скочи на 100%, не изразходваш значително количество от физическата памет и не изтървеш никакви последвали събития, значи си го измислил по-добре от моите мизерни опити.
[Отговори на този коментар]
Към: Към: Към: Интересно
От: shadowx <shadowx__at__escom__dot__bg>
На: 22-01-2011@13:42 GMT+2
Оценка: 1/НеутраленUpotrebata na pamet ne nadhvarlq 10mb, a otnosno procesornoto natovarane , razarhivirah 1000 pyti arhiv s 10 backdoor-a vytre (nqkolko pyti za da sym siguren) i dori neuspqh da vidq s top (update time 0.2s) procesa :]
[Отговори на този коментар]
Браво
От: Neo2SHYAlien <neo2shyalien __@__ gmail< dot >com>
На: 21-01-2011@8:06 GMT+2
Оценка: 1/НеутраленБраво ShadowX дори и в алфа версия скрипта работи доста добре, на доста натоварен web сървър изобщо не се усети допълнително натоварване.
[Отговори на този коментар]
0.1b
От: ShadowX
На: 21-01-2011@8:39 GMT+2
Оценка: 1/НеутраленUpdate-нал съм на весия 0.1b
Освен купищата поправки, в тази весия се отделих от rfxn.com и вече имаме отделни бази данни, добавих нови мд5 суми и хекс подписи, добавих възможност да се наблудават повече от 1 папка едновеменно... и още доста дребни поправки и промени.
Моля маилвайте ми всякакви exploit-и, backdoor-и и подобни , който скрипт-а не е успял е хванал.
[Отговори на този коментар]
Python2.5+
От: shadowx <shadowx< at >escom__dot__bg>
На: 21-01-2011@12:25 GMT+2
Оценка: 1/НеутраленАко използвате python <= 2.4, hashlib трябва да е добавите допълнително.
Може да я дръпнете от адрес:
http://pypi.python.org/pypi/hashlib/200...
Това е hashlib за python 2.3/2.4.
От весия 2.5 нагоре , hashlib е buildin :)
[Отговори на този коментар]
opravi greshkite v opisanieto
От: bobo
На: 21-01-2011@15:27 GMT+2
Оценка: 1/НеутраленMalMon is a hosting malware detection software.It's writen in python , and uses inotify (pyinotify) to monitor filesystem activity. It checks file smaller then (some size), compares their md5sum and hex signatures agains db's with known malwares.
Има една две грешки в описанието.
[Отговори на този коментар]
Към: opravi greshkite v opisanieto
От: Eretik <nikolay (a) svilengrad __точка__ eu>
На: 22-01-2011@10:29 GMT+2
Оценка: 1/НеутраленПоздравления
Пратих ти какво може да се добави за проверка.
[Отговори на този коментар]
Към: Към: opravi greshkite v opisanieto
От: shadowx <shadowx (a) escom[ точка ]bg>
На: 22-01-2011@13:52 GMT+2
Оценка: 1/НеутраленBlagodarq :) Shte pregledam maila posle ;)
i kato ostane vreme shte opravq grehskite ;P
[Отговори на този коментар]
v0.1rc1
От: shadowx <shadowx (a) escom__dot__bg>
На: 22-01-2011@13:40 GMT+2
Оценка: 1/НеутраленPak nova versiika.
Tuk se vyzpolzvah ot syvetite na gat3way, veche ima i 'warn_only' mode, v koito samo se syobshtava za otkriti exploiti/backdoor-i , no ne se mestqt.
Syshto taka veche definicite se update-vat avtimatichno na vseki (promenliva ot conf-a) chasa.
Namalen e i prioriteta na procesa ;]
[Отговори на този коментар]
