Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati
  • Differenze per "Sicurezza/RootkitHunter"
Differenze tra le versioni 1 e 52 (in 51 versioni)
Versione 1 del 28/07/2008 10.51.13
Dimensione: 599
Autore: Alberto
Commento:
Versione 52 del 11/08/2008 20.28.34
Dimensione: 5851
Autore: Alberto
Commento:
Le cancellazioni sono segnalate in questo modo. Le aggiunte sono segnalate in questo modo.
Linea 2: Linea 2:
[[VersioniSupportate(hardy)]]
Linea 5: Linea 4:
'''Rootkit''' è il programma ideale per ogni amministratore di sistema che desidera scoprire intrusi e codice maligno presenti nel proprio pc.
Il software permette di analizzare il file system, sottoponendo alla scansione tutti i file presenti in esso (come ad es. shell e script) alla ricerca di '''backdoor''' e '''rootkit' e non.		 '''!RootkitHunder''' è il programma ideale per ogni amministratore di sistema che desidera scoprire intrusi e codice maligno presenti nel proprio pc.

Il programma permette di analizzare il filesystem, sottoponendo alla scansione tutti i file presenti in esso alla ricerca di '''backdoor''' e '''rootkit''' e non.
Linea 8: Linea 9:
 * Verifica dei codici (has) MD5 .
 * Segnalazione di permessi errati.
 * Blocco di tutti i moduli del kernel pericolosi e scansione dì tutti i file eseguibili.
 		  * Verifica dei codici (has) MD5
 * Segnalazione di permessi errati
 * Blocco di tutti i moduli del kernel pericolosi
 * Scansione dì tutti i file eseguibili

= Installazione =

Per utilizzare il programma '''!RootkitHunter''' [:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto ''arkhunter'', presente nel [:Repository/Componenti:componente] '''universe''' dei [:Repository:repository] ufficiali.

Completata l'installazione di '''!RootkitHunter''', prima di utilizzarlo è necessario aggiornare il programma ed il database utilizzato per eseguire la scansione del sistema, per fare questa operazione digitare in una finestra di termiane il seguente comando:{{{
rkhunter --update
}}}

= Utilizzo =

Per avviare una scansione del sistema alla ricerca di codici maligni oppure intrusi lanciare sempre in una finestra di terminale il seguente comando:

{{{
sudo rkhunter -c
}}}

Nella tabella seguente vengono riportati e spiegati i principali comandi disponibili:

||<style="background-color:#F6D358;":> '''Opzione'''||<style="background-color:#F6D358;":> '''Descrizione'''||
||<style="text-align:center">'''--createlogfile''' || Viene creato un log della scansione all'interno della cartella` /var/log/rkhunter.log`.||
||<style="text-align:center">'''--disable-md5-check''' || Viene disabilitato il controllo sugli hash MD5.||
||<style="text-align:center">'''--report-mode''' || Non vengono visualizzati messaggi aggiuntivi, ma solo il report dell'analisi del sistema.||
||<style="text-align:center">'''--cronjob''' || Esegue '''!RootkitHunter''' automaticamente ad intervalli di tempo regolari.||
||<style="text-align:center">'''--skip-keypress''' || Evita di dover premere «'''ok'''» alla fine di ogni test.||

Per avere una panoramica completa dei comandi offerti dal programma consultare il relativo manuale, tramite il comando:{{{
man rkhunter
}}}

Una volta terminata la fase di controllo, '''!RootkitHunter''' mostra un report dello stato del sistema, dove è possibile capire se sono presenti dei malfunzionamenti all'interno del computer.

= Un Rootkit! E adesso? =

 * L'unica contromisura che si può adottare è quella di utilizzare patch del kernel.

 * Allo stato attuale non esiste nessun programma in grado di eliminare '''rootkit''' presenti nel sistema operativo.

 * Le principali patch del kernel anti '''Rootkit''' sono le seguenti:

  * '''[http://www.lids.org/ Lids]:''' è una patch capace di bloccare il kernel se qualcuno tenta in maniera non autorizzata di occultare o modificare i PID dei processi, di caricare altri moduli oppure prova a manipolare i file presenti nella cartella `/dev`.

  * '''[http://www.nsa.gov/selinux/ SELinux]:''' è un abbreviazione di Security Enhanced Linux, questa patch aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il «Mandatory Access Control», nella pratica per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei permessi.

  * '''[http://www.nessus.org/nessus/ Nessus]:''' è un ottimo strumento di tipo «security scanner» per la ricerca da remoto di una o più macchine di qualsiasi tipo di vulnerabilità all' interno del sistema.

  * '''[http://www.foundstone.com/us/index.asp Carbonite]:''' permette il collegamento di ogni processo nella «task_struck», che sarebbe la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa.

  * '''[http://www.tripwire.com/ Tripwire]:''' è uno strumento per il controllo delle «checksum» crittografiche. In poche parole controlla lo stato di determinati file rispetto ad uno stato di partenza.

= Resoconto =

Questo è un esempio del processo di scansione riportata da '''rootkit hunter''':

{{{
Checking system commands...

  Performing 'strings' command checks
    Checking 'strings' command [ OK ]

  Performing 'shared libraries' checks
    Checking for preloading variables [ None found ]
    Checking for preload file [ Not found ]
    /bin/dmesg [ Warning ]
}}}



Questo è un esempio del risultato della scansione riportata da '''rootkit hunter''':

{{{
System checks summary
=====================

File properties checks...
    Files checked: 122
    Suspect files: 5

Rootkit checks...
    Rootkits checked : 109
    Possible rootkits: 2

Applications checks...
    Applications checked: 3
    Suspect applications: 1

The system checks took: 1 minute and 37 seconds
}}}

'''Rootkit hunter''' in questo caso ha trovato:

 * Due possibili '''rootkit''' su 109

 * Cinque file sospetti su 122

 * Una applicazione sospettata di essere un '''rootkit''' su 3

= Ulteriori risorse =
 * [http://www.rootkit.nl/projects/rootkit_hunter.html Sito ufficiale del progetto]
 * [http://it.wikipedia.org/wiki/Rootkit Voce enciclopedica di RootKit]
 * [http://it.wikipedia.org/wiki/Backdoor Voce enciclopedica di Backdoor]
 * [http://it.wikipedia.org/wiki/MD5 Voce enciclopedica di MD5]

----
CategoryHomepage

Indice

Introduzione

RootkitHunder è il programma ideale per ogni amministratore di sistema che desidera scoprire intrusi e codice maligno presenti nel proprio pc.

Il programma permette di analizzare il filesystem, sottoponendo alla scansione tutti i file presenti in esso alla ricerca di backdoor e rootkit e non.

Le tecniche di scansione sono:

  • Verifica dei codici (has) MD5
  • Segnalazione di permessi errati
  • Blocco di tutti i moduli del kernel pericolosi
  • Scansione dì tutti i file eseguibili

Installazione

Per utilizzare il programma RootkitHunter [:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto arkhunter, presente nel [:Repository/Componenti:componente] universe dei [:Repository:repository] ufficiali.

Completata l'installazione di RootkitHunter, prima di utilizzarlo è necessario aggiornare il programma ed il database utilizzato per eseguire la scansione del sistema, per fare questa operazione digitare in una finestra di termiane il seguente comando:

rkhunter --update

Utilizzo

Per avviare una scansione del sistema alla ricerca di codici maligni oppure intrusi lanciare sempre in una finestra di terminale il seguente comando: 

sudo rkhunter -c

Nella tabella seguente vengono riportati e spiegati i principali comandi disponibili:

Opzione

Descrizione

--createlogfile

Viene creato un log della scansione all'interno della cartella /var/log/rkhunter.log.

--disable-md5-check

Viene disabilitato il controllo sugli hash MD5.

--report-mode

Non vengono visualizzati messaggi aggiuntivi, ma solo il report dell'analisi del sistema.

--cronjob

Esegue RootkitHunter automaticamente ad intervalli di tempo regolari.

--skip-keypress

Evita di dover premere «ok» alla fine di ogni test.

Per avere una panoramica completa dei comandi offerti dal programma consultare il relativo manuale, tramite il comando:

man rkhunter

Una volta terminata la fase di controllo, RootkitHunter mostra un report dello stato del sistema, dove è possibile capire se sono presenti dei malfunzionamenti all'interno del computer.

Un Rootkit! E adesso?

  • L'unica contromisura che si può adottare è quella di utilizzare patch del kernel.

  • Allo stato attuale non esiste nessun programma in grado di eliminare rootkit presenti nel sistema operativo.

  • Le principali patch del kernel anti Rootkit sono le seguenti:

    • [http://www.lids.org/ Lids]: è una patch capace di bloccare il kernel se qualcuno tenta in maniera non autorizzata di occultare o modificare i PID dei processi, di caricare altri moduli oppure prova a manipolare i file presenti nella cartella /dev.

    • [http://www.nsa.gov/selinux/ SELinux]: è un abbreviazione di Security Enhanced Linux, questa patch aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il «Mandatory Access Control», nella pratica per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei permessi.

    • [http://www.nessus.org/nessus/ Nessus]: è un ottimo strumento di tipo «security scanner» per la ricerca da remoto di una o più macchine di qualsiasi tipo di vulnerabilità all' interno del sistema.

    • [http://www.foundstone.com/us/index.asp Carbonite]: permette il collegamento di ogni processo nella «task_struck», che sarebbe la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa.

    • [http://www.tripwire.com/ Tripwire]: è uno strumento per il controllo delle «checksum» crittografiche. In poche parole controlla lo stato di determinati file rispetto ad uno stato di partenza.

Resoconto

Questo è un esempio del processo di scansione riportata da rootkit hunter: 

Checking system commands...

  Performing 'strings' command checks
    Checking 'strings' command                               [ OK ]

  Performing 'shared libraries' checks
    Checking for preloading variables                        [ None found ]
    Checking for preload file                                [ Not found ]
    /bin/dmesg                                               [ Warning ]

Questo è un esempio del risultato della scansione riportata da rootkit hunter: 

System checks summary
=====================

File properties checks...
    Files checked: 122
    Suspect files: 5

Rootkit checks...
    Rootkits checked : 109
    Possible rootkits: 2

Applications checks...
    Applications checked: 3
    Suspect applications: 1

The system checks took: 1 minute and 37 seconds

Rootkit hunter in questo caso ha trovato:

  • Due possibili rootkit su 109

  • Cinque file sospetti su 122

  • Una applicazione sospettata di essere un rootkit su 3

Ulteriori risorse

CategoryHomepage