CXS مخفف ConfigServer eXploit Scanner می باشد. CXS یک ابزار امنیتی و محصولی از شرکت ConfigServer می باشد. به کمک این ابزار میتوان اسکریپتهای مخرب نظیر وبشل و ابزارهای هک در امان ماند. با فعال کردن و کانفیگ مناسب امکان CXS Watch Daemon، در صورت آپلود فایل مخرب(شل – ویروس)، فایل به سرعت حذف میشود و گزارشی برای مدیر سرور ارسال میشود .
برای نصب cxs ابتدا وارد ssh سرور خود شوید و دستورات زیر را به ترتیب وارد نمایید :
wget https://download.configserver.com/cxsinstaller.tgz tar -xzf cxsinstaller.tgz perl cxsinstaller.pl rm -fv cxsinstaller.*
برای نصب ماژول پرل مورد نیاز Watch Daemon در سی پنل دستور زیر را وارد نمایید :
/scripts/perlinstaller Linux::Inotify2
برای فعال کردن اسکن فایل های آپلودی توسط وب سرور فایل زیر را ویرایش کنید : ( شما باید از قبل mod_security را تصب کرده باشید)
nano /usr/local/apache/conf/modsec2.user.conf
سپس کد های زیر را وارد آن کنید و با کلید های ctrl + x و y فایل را ذخیره کنید.
SecRequestBodyAccess On SecRule FILES_TMPNAMES "@inspectFile /etc/cxs/cxscgi.sh" "log,auditlog,deny,severity:2,phase:2,t:none,id:'1010101'" SecUploadKeepFiles RelevantOnly SecTmpDir /tmp
اگر شما آپلود فایل های حجیم توسط وب سرور را مجاز کرده اید باید سایز مجاز آپلود که به طور پیش فرض 128 مگابایت است را ویرایش نمایید. نمونه کد زیر را می توانید در همان فایل اضافه کنید :
SecRequestBodyLimit 134217728
توجه کنید که این مقدار را باید به بایت وارد کنید برای مثال 128 مگابایت معادل 134217728 می شود. شما همچنین می توانید پوشه موقت فایل ها در جایی به غیر از /tmp ایجاد کنید. پوشه جدید باید قابلیت نوشتن با یوزر nobody را داشته باشد. سپس باید http را ری استارت نمایید.
SecTmpDir /path/to/dir
برای اسکن فایل های آپلود شده ftp توسط cxs باید کد زیر را به تنظیمات سرویس pure-ftpd خود اضافه کنید برای انجام این کار ابتدا فایل زیر را ویرایش کنید :
nano /etc/pure-ftpd.conf
سپس خط زیر را به آن اضافه نمایید :
CallUploadScript yes
نکته : pure-ftpd باید با تنظیم –with-uploadscript کامپایل شده باشد برای این منظور سرویس های pure-ftpd و pure-uploadscript را ری استارت نمایید. توجه کنید که سرویس زیر باید run باشد.
/etc/init.d/pure-uploadscript status
در freebsd باید کد های زیر را در فایل /etc/rc.conf وارد نمایید :
pureftpd_enable="YES" pureftpd_upload_enable="YES" pureftpd_uploadscript="/etc/cxs/cxsftp.sh"
سپس pure-ftpd را ری استارت نمایید.
اسکن یک یوزر :
cxs --user USERNAME
اسکن تمام یوزرها:
cxs --allusers
اسکن یک فایل:
cxs /path of the file cxs /home/USERNAME/public_html/xmlrpc.php
اسکن در حالت کنترل load سرور :
cxs -T [num]
اسکن در background :
cxs -B
بروز رسانی نسخه CXS :
cxs -U
ارسال گزارش فایل مخرب جدید به دیتابیس cxs :
cxs --wttw [filename]
اسکن کردن تنها از public_html و دایرکتوری ها داخلی آن :
cxs --www [file]
پیوست کردن log نتیجه اسکن به یک فایل خاص :
cxs --logfile [file]
حذف فایل های قرنطینه شده :
cxs -D
موفق باشید .
