24/03/2020

Hướng dẫn cài đặt và sử dụng ClamAV để check malware trên Linux


NextSec xin giới thiệu đến các bạn một phần mềm Kiểm tra và diệt Malware chạy trên một số hệ điều hành của nền tảng Linux có tên gọi là "ClamAV"

1. Cách cài đặt: Về việc cài đặt ClamAV tương đối đơn giản, bạn có thể sử dụng lệnh sau để cài đặt



- Đối với Ubuntu, Debian:


sudo apt-get install clamav clamav-daemon -y

- Đối với Centos:

yum install -y clamav-server clamav-server-systemd clamav-scanner-systemd clamav-data clamav-update clamav-filesystem clamav clamav-devel clamav-lib

Sau khi cài đặt xong các bạn có thể sử dụng lệnh sau để quét trên hệ thống

clamscan -r <đường dẫn các bạn muốn quyét>

Ví dụ: #clamscan -r /home


Mình cũng xin hướng dẫn thêm cho các bạn một số tùy chọn kèm theo để tiện cho cách bạn tham khảo:

--log=<đường dẫn đến file> : option giúp bạn lưu lại phần report vào một file các bạn phải tạo file trước khi chạy để tránh phát sinh lỗi.
--remove=[yes/no] : option này giúp bị xóa hoặc không xóa file clamav scan được.
--move=<đường dẫn lưu trữ>: di chuyển tất cả các file có nội dung malware sang một đường dẫn khác để cách ly.
--copy=<đường dẫn lưu trữ>: tạo ra một nhân bản để lưu trữ lại.
--help: hướng dẫn.
Ngoài ra, các bạn có thể dùng script sau để đặt lịch quét và gửi mail:

https://github.com/wisoez/ClamAV/blob/master/ClamAV.sh

Chúc các bạn thành công!


05/03/2020

Lỗ hổng "GhostCat" trên Webserver Apache Tomcat cho phép chiếm quyền điều khiển server !

Tất cả các phiên bản (9.x/8.x/7.x/6.x) của Apache Tomcat được phát hành trong suốt 13 năm qua được phát hiện tồn tại lỗ hổng ‘file read and inclusion’ (đọc và truy cập trái phép vào tệp tin nhạy cảm trên máy chủ web) nghiêm trọng, có thể bị khai thác nếu sử dụng cấu hình mặc định.

Điều đáng ngại là một số PoC của lỗ hổng này đã xuất hiện trên mạng nên ai cũng có thể xâm nhập vào các máy chủ web dính lỗ hổng.


Lỗ hổng GhostCat (CVE-2020-1938) có điểm CVSS 9.8 cho phép kẻ tấn công trái phép từ xa đọc nội dung file bất kỳ trên các máy chủ web tồn tại lỗ hổng, truy cập các file cấu hình nhạy cảm hoặc mã nguồn, hay thực thi mã tùy ý nếu máy chủ cho phép tải file.

Lỗ hổng Ghostcat và cách thức khai thác
Theo hãng bảo mật Chaitin Tech, lỗ hổng lợi dụng cách giao thức AJP của Apache Tomcat để xử lý các thuộc tính.

“Nếu trang cho phép người dùng tải file lên, trước hết kẻ tấn công có thể tải file chứa đoạn code JSP script độc hại lên máy chủ (ảnh, text ...), sau đó khai thác Ghostcat, để thực thi mã từ xa”.
Giao thức Apache JServ Protocol (AJP) về cơ bản là một phiên bản được tối ưu hóa của giao thức HTTP cho phép Tomcat giao tiếp với máy chủ web Apache.

Dù giao thức AJP được bật mặc định và lắng nghe tại cổng TCP 8009, nhưng lại bị gắn với địa chỉ IP 0.0.0.0 và chỉ có thể bị khai thác từ xa khi nếu truy cập đến các máy Client không đáng tin cậy.
Theo tìm kiếm từ onyphe, một công cụ tra cứu mã nguồn mở và dữ liệu về các mối đe doạ, hiện có trên 170.000 thiết bị có kết nối AJP Connector trên Internet.

Cập nhật bản vá ngay lập tức
Lỗ hổng đã được báo cáo cho đội ngũ Apache Tomcat và hãng này phát hành phiên bản Apache 9.0.31, 8.5.51 và 7.0.100 để xử lý.
Các phiên bản mới nhất này cũng vá hai lỗi CVE-2020-1935 và CVE-2019-17569 ở mức độ nghiêm trọng thấp.
Các nhà quản trị web được khuyến cáo cập nhật bản vá ngay lập tức và không bao giờ mở cổng AJP đến các máy Client không đáng tin cậy.
Đội ngũ của Tomcat cho biết: “Người dùng nên lưu ý một thay đổi đã được thực hiện trong cấu hình AJP Connector mặc định phiên bản 9.0.31. Do vậy người dùng cập nhật lên phiên bản 9.0.31 hoặc cao hơn sẽ cần phải thực hiện những thay đổi nhỏ trong cấu hình của mình”.
Tuy nhiên, nếu vì lý do nào đó, người dùng không thể nâng cấp phiên bản máy chủ bị ảnh hưởng ngay lập tức, thì có thể khắc phục tạm thời bằng cách tắt AJP Connector.

Theo THN - Dịch WH