بررسی تعدادی از هشدارهای امنیتی فایروال WHM (CSF)

5
1 1 1 1 1
رتبه 5.00 (2 رای)

اگر پنل مدیریت اصلی WHM را در اختیار داشته باشید حتما نام CSF را شنیده اید. ابزاری که به عنوان یک فایروال نرم افزاری برای سرور شما عمل می کند. این افزونه سرویسی دارد به نام LFD که در صورت مشاهده موارد مشکوک، گزارش را برای شما ایمیل می کند.
ما در این مقاله می خواهیم به چند مورد از این ایمیل ها و بررسی علت این هشدارها بپردازیم. در برخی ازین موارد سایت مورد بررسی با CMS جوملا طراحی شده است. ابتدا ایمیل ارسال شده توضیح داده می شود و سپس بررسی علت.


orange سرویس LFD شاهد اجرای مشکوک یک دستور و ارتباط سایت با آی پی 74.125.136.106 بوده است . عنوان ایمیل بصورت زیر است :
 lfd on server1.parsianportal.com: Suspicious process running under user …
بخشی از متن ایمیل : Network connections by the process (if any): tcp: 185.2.12.120:56928 -> 74.125.136.106:443

اگر آی پی مورد نظر یعنی 74.125.136.106 را در مرورگر وارد کنید شاهد خواهید بود که وب سایت گوگل باز خواهد شد. در ادامه بررسی های سایت مورد نظر یعنی pthco.ir مشاهده شد که در سایت ماژولی برای تبدیل نرخ ارز وجود دارد که از گوگل استفاده می کند. پس در واقع علت این ارتباط، ماژول تبدیل ارز بوده و لازم نیست این هشدار را جدی بگیریم.



 

orange سرویس LFD شاهد اجرای مشکوک یک دستور و ارتباط با آی پی خارجی بوده است . عنوان ایمیل بصورت زیر است :
lfd on server1.parsianportal.com: Suspicious process running under user …
بخشی از متن ایمیل : Command Line (often faked in exploits): /usr/bin/php /home/.../public_html/administrator/index.php

Network connections by the process (if any):tcp: 185.2.12.120:35689 -> 146.88.128.220:80

این سایت توسط CMS جوملا طراحی شده است و اگر از آی پی مورد نظر یعنی 146.88.128.220 whois بگیرید شاهد خواهید بود که این آی پی متعلق به شرکت SoftLayer می باشد و اگر به مسیر اجرای دستور دقت کنید (پنل مدیریت جوملا) مشخص می شود که این درخواست از آی پی بمنظور بررسی آپدیت جدید برای جوملا می باشد. در واقع هربار که وارد پنل مدیریت جوملا شوید، CMS بررسی می کند که آیا آپدیت جدیدی وجود دارد یا خیر و این آی پی ممکن است بسته به افزونه های نصبی شما هربار تغییر کند



orange سرویس LFD شاهد اجرای یک دستور و ارتباط با آی پی خارجی بوده است. عنوان ایمیل بصورت زیر است :
lfd on server1.parsianportal.com: Suspicious process running under user ...
بخشی از متن ایمیل :
Command Line (often faked in exploits):
/usr/bin/php /home/.../public_html/administrator/index.php

Network connections by the process (if any):
tcp: 185.2.12.120:39142 -> 199.116.78.79:80

این مورد نیز طبق لینک داده شده مشابه مورد قبلی است اما به این دلیل مجدد به آن اشاره کردیم که می خواهیم دقیق تر آی پی و افزونه ای که در صدد بروزرسانی است را بررسی کنیم. آی پی ای که باید بررسی کنیم 199.116.78.79 می باشد. آن را به سایت domaintools.com داده و نتیجه را بررسی می کنیم. مشخص می شود که آی پی مربوط است به شرکت cloudaccess و افزونه virtuemart. اگر بخواهید جلوی این بروزرسانی را بگیرید می توانید در پنل مدیریت جوملا به مسیر Extensions>manage>Update sites رفته، و افزونه virtuemart  را جستجو کنید. سپس تمامی موارد یافت شده را خاموش و غیرفعال کنید.


orange سرویس LFD متوجه استفاده بیش از حد از منابع سرور شده است. عنوان پیغام بصورت زیر می باشد :
lfd on server1.parsianportal.com: Excessive resource usage
و بخشی از متن ایمیل :


Time:        Sun Mar 13 18:14:39 2016 +0330
Account:      rastcheen
Resource:    Process Time
Exceeded:    1918 > 1800 (seconds)
Executable:  /usr/bin/php5
Command Line: /usr/bin/php5 /home/rastcheen/public_html/index.php
PID:          8773 (Parent PID:7598)
Killed:      Yes


اگر به پنل اصلی WHM بروید و عبارت firewall را در باکس سمت چپ جستجو کنید، می توانید تنظیمات فایروال را تحت کلید firewall configuration بیابید. در صفحه باز شده مطابق تصویر باید عبارت PT_USERTIME را توسط مرورگر جستجو کنید. در برابر این عبارت می توانید عددی به ثانیه تایپ کنید تا اگر فایروال متوجه شد پروسه ای بیش از این عدد، پردازنده را اشغال کرده است یک ایمیل برای شما ارسال شود. در ردیف بعدی  PT_USERKILL اگر برابر 1 باشد (یا روشن گردد) خود CSF پروسس را حذف می کند.

برای روشن تر شدن مطلب مثالی می زنیم. فرض کنید ما این عدد را روی 1800 ثانیه گذاشته ایم. یعنی اگر یک پردازش مثلا دانلود فایل از سایت بیش از 30 دقیقه به طول بیانجامد، دانلود توسط فایروال CSF قطع خواهد شد و یک ایمیل برای مدیر سرور ارسال می گردد. پس در مورد روشن بودن گزینه PT_USERKILL دقت بیشتری داشته باشید.

 

ما در این مقاله بطور خلاصه سعی کردیم به 4 مورد از ایمیل های رایج که LFD برای مدیر سرور ارسال می کند اشاره کنیم. اگر شما نیز در سایت خود به مورد مشکوکی برخورده اید آن را با ما به اشتراک بگذارید.