Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati
  • Differenze per "Sicurezza/RootkitHunter"
Differenze tra le versioni 1 e 58 (in 57 versioni)
Versione 1 del 28/07/2008 10.51.13
Dimensione: 599
Autore: Alberto
Commento:
Versione 58 del 16/08/2008 17.44.03
Dimensione: 5179
Autore: SalvatorePalma
Commento: piccola controllata
Le cancellazioni sono segnalate in questo modo. Le aggiunte sono segnalate in questo modo.
Linea 1: Linea 1:
#format wiki
#language it
Linea 2: Linea 4:
[[VersioniSupportate(hardy)]]
Linea 5: Linea 6:
'''Rootkit''' è il programma ideale per ogni amministratore di sistema che desidera scoprire intrusi e codice maligno presenti nel proprio pc.
Il software permette di analizzare il file system, sottoponendo alla scansione tutti i file presenti in esso (come ad es. shell e script) alla ricerca di '''backdoor''' e '''rootkit' e non.
'''!RootkitHunder''' permette di analizzare il filesystem, sottoponendo alla scansione tutti i file presenti in esso alla ricerca di '''backdoor''' e '''rootkit''' e non.
Linea 8: Linea 10:
 * Verifica dei codici (has) MD5 .
 * Segnalazione di permessi errati.
 * Blocco di tutti i moduli del kernel pericolosi e scansione dì tutti i file eseguibili.
 		  * Verifica dei codici (has) MD5
 * Segnalazione di permessi errati
 * Blocco di tutti i moduli del kernel pericolosi
 * Scansione dì tutti i file eseguibili

= Preparativi =

Abilitare i [:Repository/Componenti:componenti] '''universe''' dei [:Repository:repository] ufficiali.


= Installazione =

[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto ''rkhunter''.

= Configurazione =

Completata l'installazione di '''!RootkitHunter''', è necessario aggiornare il programma ed il database utilizzato per eseguire la scansione del sistema, per fare questa operazione digitare in una finestra di terminale il seguente comando:{{{
sudo rkhunter --update
}}}

= Utilizzo =

Per avviare una scansione del sistema alla ricerca di codici maligni oppure intrusi lanciare sempre in una finestra di terminale il seguente comando:

{{{
sudo rkhunter -c
}}}

Nella tabella seguente vengono riportati e spiegati i principali comandi disponibili:

||<style="background-color:#F6D358;":> '''Opzione'''||<style="background-color:#F6D358;":> '''Descrizione'''||
||<style="text-align:center">'''--disable-md5-check''' || Viene disabilitato il controllo sugli hash MD5.||
||<style="text-align:center">'''--report-mode''' || Non vengono visualizzati messaggi aggiuntivi, ma solo il report dell'analisi del sistema.||
||<style="text-align:center">'''--cronjob''' || Esegue '''!RootkitHunter''' automaticamente ad intervalli di tempo regolari.||
||<style="text-align:center">'''--skip-keypress''' || Evita di dover premere «'''ok'''» alla fine di ogni test.||

Per avere una panoramica completa dei comandi offerti dal programma consultare il relativo manuale, tramite il comando:{{{
man rkhunter
}}}

Una volta terminata la fase di controllo, '''!RootkitHunter''' mostra un report dello stato del sistema, dove è possibile capire se sono presenti dei malfunzionamenti all'interno del computer.


Questo è un esempio del risultato di scansione riportato da '''!RootkitHunter''':
{{{
System checks summary
=====================

File properties checks...
    Files checked: 122
    Suspect files: 5

Rootkit checks...
    Rootkits checked : 109
    Possible rootkits: 2

Applications checks...
    Applications checked: 3
    Suspect applications: 1

The system checks took: 1 minute and 37 seconds
}}}

In questo caso analizzando la scansione sono state trovare le seguenti possibili vulnerabilità nel sistema:
 * Due possibili '''rootkit''' su 109
 * Cinque file sospetti su 122
 * Una applicazione sospettata di essere un '''rootkit''' su 3

Il log mostrato sopra è solo una descrizione sommaria riportata alla fine della scansione, per avere una visione completa su quando analizzato da '''!RootkitHunter''' consultare il relativo file di log `/var/log/rkhunter.log`.

Nel caso in cui nel log risultano dei file sospetti bisogna utilizzare le patch del kernel.

Le principali patch del kernel anti '''Rootkit''' sono le seguenti:

  * '''[http://www.lids.org/ Lids]:''' è una patch capace di bloccare il kernel se qualcuno tenta in maniera non autorizzata di occultare o modificare i PID dei processi, di caricare altri moduli oppure prova a manipolare i file presenti nella cartella `/dev`.

  * '''[http://www.nsa.gov/selinux/ SELinux]:''' è un abbreviazione di Security Enhanced Linux, questa patch aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il «Mandatory Access Control», nella pratica per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei permessi.

  * '''[http://www.nessus.org/nessus/ Nessus]:''' è un ottimo strumento di tipo «security scanner» per la ricerca da remoto di una o più macchine di qualsiasi tipo di vulnerabilità all' interno del sistema.

  * '''[http://www.foundstone.com/us/index.asp Carbonite]:''' permette il collegamento di ogni processo nella «task_struck», che sarebbe la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa.

  * '''[http://www.tripwire.com/ Tripwire]:''' è uno strumento per il controllo delle «checksum» crittografiche. In poche parole controlla lo stato di determinati file rispetto ad uno stato di partenza.

= Ulteriori risorse =
 * [http://www.rootkit.nl/projects/rootkit_hunter.html Sito ufficiale del progetto]
 * [http://it.wikipedia.org/wiki/Rootkit Voce enciclopedica di RootKit]
 * [http://it.wikipedia.org/wiki/Backdoor Voce enciclopedica di Backdoor]
 * [http://it.wikipedia.org/wiki/MD5 Voce enciclopedica di MD5]

----
CategoryHomepage

Indice

Introduzione

RootkitHunder permette di analizzare il filesystem, sottoponendo alla scansione tutti i file presenti in esso alla ricerca di backdoor e rootkit e non.

Le tecniche di scansione sono:

  • Verifica dei codici (has) MD5
  • Segnalazione di permessi errati
  • Blocco di tutti i moduli del kernel pericolosi
  • Scansione dì tutti i file eseguibili

Preparativi

Abilitare i [:Repository/Componenti:componenti] universe dei [:Repository:repository] ufficiali.

Installazione

[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto rkhunter.

Configurazione

Completata l'installazione di RootkitHunter, è necessario aggiornare il programma ed il database utilizzato per eseguire la scansione del sistema, per fare questa operazione digitare in una finestra di terminale il seguente comando:

sudo rkhunter --update

Utilizzo

Per avviare una scansione del sistema alla ricerca di codici maligni oppure intrusi lanciare sempre in una finestra di terminale il seguente comando: 

sudo rkhunter -c

Nella tabella seguente vengono riportati e spiegati i principali comandi disponibili:

Opzione

Descrizione

--disable-md5-check

Viene disabilitato il controllo sugli hash MD5.

--report-mode

Non vengono visualizzati messaggi aggiuntivi, ma solo il report dell'analisi del sistema.

--cronjob

Esegue RootkitHunter automaticamente ad intervalli di tempo regolari.

--skip-keypress

Evita di dover premere «ok» alla fine di ogni test.

Per avere una panoramica completa dei comandi offerti dal programma consultare il relativo manuale, tramite il comando:

man rkhunter

Una volta terminata la fase di controllo, RootkitHunter mostra un report dello stato del sistema, dove è possibile capire se sono presenti dei malfunzionamenti all'interno del computer.

Questo è un esempio del risultato di scansione riportato da RootkitHunter: 

System checks summary
=====================

File properties checks...
    Files checked: 122
    Suspect files: 5

Rootkit checks...
    Rootkits checked : 109
    Possible rootkits: 2

Applications checks...
    Applications checked: 3
    Suspect applications: 1

The system checks took: 1 minute and 37 seconds

In questo caso analizzando la scansione sono state trovare le seguenti possibili vulnerabilità nel sistema:

  • Due possibili rootkit su 109

  • Cinque file sospetti su 122

  • Una applicazione sospettata di essere un rootkit su 3

Il log mostrato sopra è solo una descrizione sommaria riportata alla fine della scansione, per avere una visione completa su quando analizzato da RootkitHunter consultare il relativo file di log /var/log/rkhunter.log.

Nel caso in cui nel log risultano dei file sospetti bisogna utilizzare le patch del kernel.

Le principali patch del kernel anti Rootkit sono le seguenti:

  • [http://www.lids.org/ Lids]: è una patch capace di bloccare il kernel se qualcuno tenta in maniera non autorizzata di occultare o modificare i PID dei processi, di caricare altri moduli oppure prova a manipolare i file presenti nella cartella /dev.

  • [http://www.nsa.gov/selinux/ SELinux]: è un abbreviazione di Security Enhanced Linux, questa patch aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il «Mandatory Access Control», nella pratica per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei permessi.

  • [http://www.nessus.org/nessus/ Nessus]: è un ottimo strumento di tipo «security scanner» per la ricerca da remoto di una o più macchine di qualsiasi tipo di vulnerabilità all' interno del sistema.

  • [http://www.foundstone.com/us/index.asp Carbonite]: permette il collegamento di ogni processo nella «task_struck», che sarebbe la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa.

  • [http://www.tripwire.com/ Tripwire]: è uno strumento per il controllo delle «checksum» crittografiche. In poche parole controlla lo stato di determinati file rispetto ad uno stato di partenza.

Ulteriori risorse

CategoryHomepage