Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati

Versione 18 del 31/07/2008 09.04.59

Nascondi questo messaggio

Indice VersioniSupportate(hardy)

Introduzione

Rootkit è il programma ideale per ogni amministratore di sistema che desidera scoprire intrusi e codice maligno presenti nel proprio pc.

Il software permette di analizzare il file system, sottoponendo alla scansione tutti i file presenti in esso (come ad es. shell e script) alla ricerca di backdoor e rootkit e non.

Le tecniche di scansione sono:

  • Verifica dei codici (has) MD5 .
  • Segnalazione di permessi errati.
  • Blocco di tutti i moduli del kernel pericolosi e scansione dì tutti i file eseguibili.

Installazione

Per [:AmministrazioneSistema/InstallareProgrammi:installare] il programma RootkitHunter digitare in [:AmministrazioneSistema/RigaDiComando:terminale]: 

sudo apt-get install rkhunter

Completata l'installazione di Rootkit Hunter, prima di utilizzarlo è necessario aggiornare, sia il software, sia il database utilizzato per eseguire la scansione del sistema.

Digitare in [:AmministrazioneSistema/RigaDiComando:terminale]: 

rkhunter --update

Utilizzo

Per scansionare il sistema digitare: 

sudo rkhunter --checkall

Nella tabella di seguito vengono illustrati e spiegati gran parte dei comandi disponibili.

Opzione

Descrizione

- -createlogfile

Crea un file di log della scansione in /var/log/rkhunter.log.

- -disable-md5-check

Non esegue il controllo sugli hash MD5.

- -report-mode

Non visualizzare messaggi aggiuntivi, ma solo il report dell' analisi del sistema.

- -cronjob

Esegue Rootkit Hunter automaticamente ad intervalli di tempo regolari.

- -skip-keypress

Evita di dover premere ok alla fine di ogni test.

Una volta terminata la fase di controllo, Rootkit Hunter mostra un report dello stato del sistema.

Basta darci uno sguardo per capire se c'è qualcosa che non va nel computer.

Un Rootkit! E adesso?

L'unica contromisura che si può adottare è quella di utilizzare patch del kernel, in grado di bloccare (nel senso che non permette modifiche) il kernel se qualcuno tenta di modificare i PID dei processi e prova a manipolare i file presenti nella directory /dev oppure se si prova in maniera non autorizzata ad accedere ai segmenti di memoria condivisa.

Ulteriori risorse

[http://www.rootkit.nl/projects/rootkit_hunter.html Sito ufficiale]

CategoryHomepage