Introduzione
RootkitHunder permette di analizzare il filesystem, sottoponendo alla scansione tutti i file presenti in esso alla ricerca di applicazioni malevoli.
Preparativi
Abilitare il [:Repository/Componenti:componente] universe dei [:Repository:repository] ufficiali.
Installazione
[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto rkhunter.
Configurazione
Completata l'installazione di RootkitHunter, è necessario aggiornare il programma e il database utilizzato per eseguire la scansione del sistema; a tale scopo è sufficiente digitare il seguente comando in una finestra di terminale:
sudo rkhunter --update
Avvio e utilizzo
Per avviare una scansione del sistema digitare il seguente comando in una finestra di terminale:
sudo rkhunter -c
Quella che segue è una spiegazione dei principali comandi disponibili:
Opzione |
Descrizione |
--disable-md5-check |
Viene disabilitato il controllo sugli hash MD5. |
--report-mode |
Non vengono visualizzati messaggi aggiuntivi, ma solo il report dell'analisi del sistema. |
--cronjob |
Esegue RootkitHunter automaticamente a intervalli di tempo regolari. |
--skip-keypress |
Evita di dover premere «ok» alla fine di ogni test. |
Una volta terminata la scansione, RootkitHunter mostra un report dello stato del sistema, grazie al quale sarà possibile capire se sono presenti dei programmai malevoli all'interno del computer.
Questo è un esempio del risultato di scansione:
System checks summary
=====================
File properties checks...
Files checked: 122
Suspect files: 5
Rootkit checks...
Rootkits checked : 109
Possible rootkits: 2
Applications checks...
Applications checked: 3
Suspect applications: 1
The system checks took: 1 minute and 37 secondsIl log mostrato sopra è solo una descrizione sommaria riportata alla fine della scansione, per avere una visione completa su quanto analizzato da RootkitHunter consultare il file /var/log/rkhunter.log.
Nel caso in cui nel log risultino dei file sospetti bisogna utilizzare le patch del kernel; le principali patch del kernel sono le seguenti:
[http://www.lids.org/ lids]: è una patch capace di bloccare il kernel nei casi di occultamento o modifica dei PID dei processi, di caricamento di altri moduli e prova a manipolare i file presenti nella cartella /dev.
[http://www.nsa.gov/selinux/ selinux]: è un abbreviazione di Security Enhanced Linux, questa patch aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il «Mandatory Access Control», nella pratica per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei permessi.
[http://www.nessus.org/nessus/ Nessus]: è un ottimo strumento di tipo «security scanner» per la ricerca da remoto di una o più macchine di qualsiasi tipo di vulnerabilità all' interno del sistema.
[http://www.foundstone.com/us/index.asp Carbonite]: permette il collegamento di ogni processo nella «task_struck», che sarebbe la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa.
[http://www.tripwire.com/ Tripwire]: è uno strumento per il controllo delle «checksum» crittografiche. In poche parole controlla lo stato di determinati file rispetto ad uno stato di partenza.
Ulteriori risorse
[http://www.rootkit.nl/projects/rootkit_hunter.html Sito ufficiale del progetto]
[http://it.wikipedia.org/wiki/Rootkit Voce enciclopedica di RootKit]
[http://it.wikipedia.org/wiki/Backdoor Voce enciclopedica di Backdoor]
[http://it.wikipedia.org/wiki/MD5 Voce enciclopedica di MD5]
