آموزش نحوه اسکن cxs در دایرکت ادمین‎

ConfigServer eXploit Scanner یا CXS ابزاری ست که اسکن فعال ( لحظه به لحظه ) فایل ها را هنگام بارگذاری روی سرور انجام می دهد.
اسکن لحظه ای پرونده ها می تواند با حذف یا انتقال پرونده های مشکوک به قرنطینه، قبل از فعال شدن ، از سو استفاده های بعدی، توسط بدافزار یا sell جلوگیری کند. همچنین می تواند از بارگذاری اسکریپت های PHP و perl shell که معمولاً برای راه اندازی حملات مخرب و ارسال هرزنامه استفاده می شوند ، جلوگیری کند.

CXS روی لینوکس با توزیع Centos قابل نصب و استفاده می باشد و پلاگین آن در حال حاضر فقط برای سی پنل و دایرکت ادمین ایجاد شده است.

برای استفاده از ابزار CXS در دایرکت ادمین، مطابق تصویر زیر از سطح Admin و از بخش Extra Features روی گزینه ی ConfigServer eXploit Scanner کلیک کنید.

در صفحه جدید برای scan  بروی گزینهWizard  CXS Commands  کلیک کنید.

What to scan

در بخش What to scan می توانیداکانت و یوزرهای مورد نظررا انتخاب کنید :

• به معنی اسکن تمام یوزرهای دایرکت ادمین می باشد .
• با انتخاب این گزینه می توانید یوزر خاصی را برای اسکن انتخاب نمایید .
• با استفاده از این گزینه می توانید اسکن یوزرهای موجود بین دو یوزر دلخواه را انجام دهید.
• می توانید پوشه ی خاصی را جهت اسکن مشخص نمایید.

How to report

قسمت How to report دو گزینه ی Report file و Email دارد که میتوانید مشخص کنید گزارش اسکن به صورت فایل در مسیر /var/log/cxsreports/cxs.scan در سرور ذخیره شود و یا به فایل گزارش به ایمیل مود نظر شما ارسال گردد.

Exploit Scanning Options

از بخش Exploit Scanning Options می توانید موارد و گزینه هایی که می خواهید اسکن شوند را مشخص نمایید به عنوان مثال می توانید گزینه ی  scan within compressed archive برای اسکن کردن فایل های فشرده فعال نمایید.

Virus Scanning

از قسمت Virus Scanning می توانید اسکن ویروس را با ClamAV انجام دهید.

انتخاب گزینه ی Fallback to clamscan در این بخش به معنای آن است که اگر در حین اسکن clamd از کار افتاد ، از clamscan استفاده شود. لطفا توجه داشته باشید که این گزینه می تواند بسته به منابع موجود بار قابل توجهی به سرور اضافه کند.

گزینه ی Allow unofficial ClamAV signatures یعنی از signatures غیررسمی ClamAV  (در صورت نصب) استفاده شود.

Probability Scanning (Bayes)

با فعالسازی این گزینه اسکریپت ها نیز اسکن می شوند و محتویات آن را از طریق الگوریتمی بررسی میکند که آیا احتمال سوء استفاده را ایجاد می کند یا خیر.

Quarantine

در قسمت Quarantine گزینه ی Quarantine Files مسیر نگهداری فایل های قرنطینه شده را مشخص میکند.

Script Version Scan

 این گزینه اسکریپت های متدوال وب ( مانند افزونه های وردپرس و جوملا ) را اسکن میکند و اگر قدیمی تر از آخرین نسخه ثبت شده باشد گزارش می دهد.
این گزینه بیش از 200 برنامه فردی ، بیش از 200 افزونه وردپرس و بیش از 200 برنامه افزودنی جوملا را اسکن می کند.

• Report all script installs found not just old ones : نه تنها نسخه های قدیمی بلکه گزارش تمام نسخه های افزونه های نصب شده را اریه می دهد .
• Report dir of installs found : گزارش مسیر آخرین نسخه ی افزونه های نصب شده را ارایه میدهد.
  
  

Additional Scan Configuration Files

در این بخش می توانید مسیر فایل های cxs.ignore و cxs.xtra را مشخص نمایید .

Ignore File : فایلی حاوی منابعی جهت نادیده گرفتن برای اسکن
Xtra File : فایلی حاوی موارد و فایل هایی که cxs علاوه بر این و به صورت مازاد اسکن می کند.

Other Options

در این بخش تنظیمات دیگری برای cxs وجود دارد که در ادامه آن ها را توضیح میدهیم.

Quiet output : همانطور که از نام آن پیداست خروجی پیشرفته را متوقف و یک خروجی سریع ارایه میدهد . موارد استفاده ی این گزینه برای ایجاد کران جاب و .... می باشد.

Show statistics summary : برای هر منبع اسکن شده یک خلاصه ی آماری ارایه میدهد.

Enable SSL communications : با فعال بودن این گزینه کلیه ی توابع cxs از طریق اتصال SSL به سرورهای ConfigServer اجرا می شوند.

Deep scan : فعال کردن این گزینه به معنی اسکن طولانی تر و بررسی تمام پرونده های متنی برای همه تطابق های regex می باشد.Regex توالی کاراکترهایی است که الگوی جستجو را مشخص می کند.

Maximum file size : حداکثر اندازه فایل متنی برای اسکن (پیش فرض 1000000 بایت است)

Maximum resources : از اسکن یک دایرکتوری خودداری کنید اگر بیش از این تعداد منبع دارد : فایل ها ، دایرکتوری ها و غیره (پیش فرض 10000 منبع است)

Throttle cxs : اگر میانگین بار یک دقیقه ای بیشتر از این عدد باشد ، این گزینه cxs را مجبور به توقف 60 ثانیه می کند.

Processor threads : این گزینه به cxs اجازه می دهد تا هنگام انجام اسکن در تمام حساب های کاربری ، به صورت threads از چندین هسته ی پردازنده استفاده کند.

Change Time : فقط پرونده هایی را اسکن میکند که در زمان مشخص شده در این گزینه تغییر یافته یا ایجاد شده باشند.

Force scanning within restricted directories : cxs از اسکن در مسیرهای usr / var / bin / lib / lib64 / boot / etc / proc / sys / opt خودداری خواهد کرد مگر اینکه این گزینه انتخاب شود. فقط در صورت درک پیامدها ، این گزینه را فعال کنید.

پس از انجام تنظیمات فوق حال نوبت اجرای اسکن می باشد.

•  View Shell Command : با این گزینه می توانید تنظیمات انجام شده را به صورت یک shell  مشاهده و دریافت کنید.
• Run Scan : با کلیک روی این گزینه اسکن آغاز می شود.
• Creat Cron Job : از طریق این دکمه می توانید یک کران جاب برای اسکن با تنظیمات انجام شده تعریف نمایید.
• Save Wizard Defualt : کلیک روی این دکمه باعث می شود تنظیمات انجام شده به عنوان تنظیمات پیش فرض برای اسکن در نظر گرفته شود. البته این گزینه فقط تنظیمات را برای این Wizard ذخیره می کند و فایل defaults را در مسیر /etc/cxs/cxs.defaults را به روز نمی کند و در صورت نیاز به چنین پیش فرضی باید به صورت دستی ویرایش شود
• Reset Wizard Defualt : تنظیمات به حالت پیش فرض برای اسکن ریست می شود.

تنظیمات cxs در تم Enhanced دایرکت ادمین

در تم قدیمی دایرکت ادمین نیز بر روی گزینه Configserver eXploit scanner  کلیک کنید.

در صفحه جدید برای scan  بروی گزینه Generate Commands  کلیک کنید.

سپس اکانت و یوزرهای مورد نظررا انتخاب کنید و بروی Run scan  در پایین صفحه کلیک کنید تا Scan آغاز شود.