Menu
▾
▴
[Rootcheck-devel] Rootcheck-0.4pre1 - Testem por favor
|
From: Cid, D. (NIH/NHLBI) <ci...@nh...> - 2003-11-28 18:33:35
|
Opa, Criei essa mailist para facilitar a troca de informacoes e o envio dos resultados dos testes. Espero que todos que eu cadastrei nao se importem (me falem, caso contrario)... Bem, quem ja utilizou o rootcheck, ja tem uma nocao sobre como ele funciona e de como o projeto esta... Nessa nova versao eu adicionei a opcao de logar em html (--html , --logfile=result.html) , mudei um pouco a estrutura do programa (pra ficar mais rapido) e adicionei uma checagem extra no syscheck.c, que verifica se existe algum arquivo com permicao de escrita para "outros" (-------w-) e se este eh executavel ... Nos ultimos dias vi uns problemas de seguranca com arquivos desse modo e decidir adicionar :) Se alguem for olhar o codigo vira que ele esta um pouco (bem) mais feio do que antes... Adicionei varios ifs/elses Ao longo de todo o programa (pros envios de html)... Essa foi uma solucao temporaria pra uma necessidade que Eu tinha (html), mas sera apenas provisoria.. O programa esta sendo todo reformulado pro C e ficara muito mais Rapido e mais potente. A arquitetura dele ficara dividida em "coletador" e "analisador". Para quem entende um pouco de forensics, sabe que ao se pegar uma maquina comprometida, deve-se toca ao minimo nela e esse Eh o proposito de dividir o programa... Quem quiser rodar na sua maquina pessoal/servidores para testar, podera (coletaodr+ Analisador juntos). Mas quem quiser roda-lo em um ambiente no qual o servidor ja foi invadido e deseja-se mais informacoes sobre ele sem altera-lo, podera tb. Bem, ja escrevi demais ... Quem puder testar ele nos seus servidores disponvieis e enviar para ca (ou pro meu email) o resultado, seria excelente ! Se Quiser soh enviar as partes que deram falso-positivo ou algum erro, seria excelente tb !! Baixar: http://www.ossec.net/rnew/rootcheck-0.4-pre1.tar.gz <http://www.ossec.net/rnew/rootcheck-0.4-pre1.tar.gz> Instalar: ./install :)) very simple ! Valeu Gabriel Rodar: Eu geralmente rodo ele assim (pro meu email, em html no arquivo result.html e sem falar nada ): time perl rootcheck.pl --ema...@nh... --smtpserver=mailfwd.nih.gov --html --logfile=result.html --silent O modo mais simples de rodar eh: ./rootcheck.pl --html --logfile=result.html *sem o html ele loga em .txt []`s a todos *quem quiser dar uma olhadinha em http://www.ossec.net/rnew/ <http://www.ossec.net/rnew/> no novo logo que eu fiz e quiser ajudar !! Eu sou pessimo com Esses trocos (site tb) !! Alguem ai de candidata ? Daniel B. Cid |
