|
Dimensione: 2354
Commento:
|
Dimensione: 5179
Commento: piccola controllata
|
| Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
| Linea 1: | Linea 1: |
| #format wiki #language it |
|
| Linea 2: | Linea 4: |
| [[VersioniSupportate(hardy)]] | |
| Linea 5: | Linea 6: |
| '''Rootkit''' è il programma ideale per ogni amministratore di sistema che desidera scoprire intrusi e codice maligno presenti nel proprio pc. | |
| Linea 7: | Linea 7: |
| Il software permette di analizzare il file system, sottoponendo alla scansione tutti i file presenti in esso (come ad es. shell e script) alla ricerca di '''backdoor''' e '''rootkit''' e non. | '''!RootkitHunder''' permette di analizzare il filesystem, sottoponendo alla scansione tutti i file presenti in esso alla ricerca di '''backdoor''' e '''rootkit''' e non. |
| Linea 10: | Linea 10: |
| * Verifica dei codici (has) MD5 . * Segnalazione di permessi errati. * Blocco di tutti i moduli del kernel pericolosi e scansione dì tutti i file eseguibili. |
* Verifica dei codici (has) MD5 * Segnalazione di permessi errati * Blocco di tutti i moduli del kernel pericolosi * Scansione dì tutti i file eseguibili = Preparativi = Abilitare i [:Repository/Componenti:componenti] '''universe''' dei [:Repository:repository] ufficiali. |
| Linea 15: | Linea 21: |
| Per [:AmministrazioneSistema/InstallareProgrammi:installare] il programma '''!RootkitHunter''' digitare in [:AmministrazioneSistema/RigaDiComando:terminale]: | |
| Linea 17: | Linea 22: |
| {{{ sudo apt-get install rkhunter }}} |
[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto ''rkhunter''. |
| Linea 21: | Linea 24: |
| Completata l'installazione di '''Rootkit Hunter''', prima di utilizzarlo è necessario aggiornare, sia il software, sia il database utilizzato per eseguire la scansione del sistema. | = Configurazione = |
| Linea 23: | Linea 26: |
| Digitare in [:AmministrazioneSistema/RigaDiComando:terminale]: {{{ rkhunter --update |
Completata l'installazione di '''!RootkitHunter''', è necessario aggiornare il programma ed il database utilizzato per eseguire la scansione del sistema, per fare questa operazione digitare in una finestra di terminale il seguente comando:{{{ sudo rkhunter --update |
| Linea 31: | Linea 32: |
| Per scansionare il sistema digitare: | Per avviare una scansione del sistema alla ricerca di codici maligni oppure intrusi lanciare sempre in una finestra di terminale il seguente comando: |
| Linea 34: | Linea 35: |
| sudo rkhunter --checkall | sudo rkhunter -c |
| Linea 37: | Linea 38: |
| Nella tabella di seguito vengono illustrati e spiegati gran parte dei comandi disponibili. | Nella tabella seguente vengono riportati e spiegati i principali comandi disponibili: |
| Linea 40: | Linea 41: |
| ||<style="text-align:center">'''- -createlogfile''' || Crea un file di log della scansione in ''/var/log/rkhunter.log''.|| ||<style="text-align:center">'''- -disable-md5-check''' || Non esegue il controllo sugli hash MD5.|| ||<style="text-align:center">'''- -report-mode''' || Non visualizzare messaggi aggiuntivi, ma solo il report dell' analisi del sistema.|| ||<style="text-align:center">'''- -cronjob''' || Esegue '''Rootkit Hunter''' automaticamente ad intervalli di tempo regolari.|| ||<style="text-align:center">'''- -skip-keypress''' || Evita di dover premere '''ok''' alla fine di ogni test.|| |
||<style="text-align:center">'''--disable-md5-check''' || Viene disabilitato il controllo sugli hash MD5.|| ||<style="text-align:center">'''--report-mode''' || Non vengono visualizzati messaggi aggiuntivi, ma solo il report dell'analisi del sistema.|| ||<style="text-align:center">'''--cronjob''' || Esegue '''!RootkitHunter''' automaticamente ad intervalli di tempo regolari.|| ||<style="text-align:center">'''--skip-keypress''' || Evita di dover premere «'''ok'''» alla fine di ogni test.|| |
| Linea 46: | Linea 46: |
| Una volta terminata la fase di controllo, '''Rootkit Hunter''' mostra un report dello stato del sistema. | Per avere una panoramica completa dei comandi offerti dal programma consultare il relativo manuale, tramite il comando:{{{ man rkhunter }}} |
| Linea 48: | Linea 50: |
| Basta darci uno sguardo per capire se c'è qualcosa che non va nel computer. | Una volta terminata la fase di controllo, '''!RootkitHunter''' mostra un report dello stato del sistema, dove è possibile capire se sono presenti dei malfunzionamenti all'interno del computer. |
| Linea 50: | Linea 52: |
| = Un Rootkit! E adesso? = | Questo è un esempio del risultato di scansione riportato da '''!RootkitHunter''': {{{ System checks summary ===================== File properties checks... Files checked: 122 Suspect files: 5 Rootkit checks... Rootkits checked : 109 Possible rootkits: 2 Applications checks... Applications checked: 3 Suspect applications: 1 The system checks took: 1 minute and 37 seconds }}} In questo caso analizzando la scansione sono state trovare le seguenti possibili vulnerabilità nel sistema: * Due possibili '''rootkit''' su 109 * Cinque file sospetti su 122 * Una applicazione sospettata di essere un '''rootkit''' su 3 Il log mostrato sopra è solo una descrizione sommaria riportata alla fine della scansione, per avere una visione completa su quando analizzato da '''!RootkitHunter''' consultare il relativo file di log `/var/log/rkhunter.log`. Nel caso in cui nel log risultano dei file sospetti bisogna utilizzare le patch del kernel. Le principali patch del kernel anti '''Rootkit''' sono le seguenti: * '''[http://www.lids.org/ Lids]:''' è una patch capace di bloccare il kernel se qualcuno tenta in maniera non autorizzata di occultare o modificare i PID dei processi, di caricare altri moduli oppure prova a manipolare i file presenti nella cartella `/dev`. * '''[http://www.nsa.gov/selinux/ SELinux]:''' è un abbreviazione di Security Enhanced Linux, questa patch aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il «Mandatory Access Control», nella pratica per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei permessi. * '''[http://www.nessus.org/nessus/ Nessus]:''' è un ottimo strumento di tipo «security scanner» per la ricerca da remoto di una o più macchine di qualsiasi tipo di vulnerabilità all' interno del sistema. * '''[http://www.foundstone.com/us/index.asp Carbonite]:''' permette il collegamento di ogni processo nella «task_struck», che sarebbe la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa. * '''[http://www.tripwire.com/ Tripwire]:''' è uno strumento per il controllo delle «checksum» crittografiche. In poche parole controlla lo stato di determinati file rispetto ad uno stato di partenza. |
| Linea 53: | Linea 95: |
| [http://www.rootkit.nl/projects/rootkit_hunter.html Sito ufficiale] | * [http://www.rootkit.nl/projects/rootkit_hunter.html Sito ufficiale del progetto] * [http://it.wikipedia.org/wiki/Rootkit Voce enciclopedica di RootKit] * [http://it.wikipedia.org/wiki/Backdoor Voce enciclopedica di Backdoor] * [http://it.wikipedia.org/wiki/MD5 Voce enciclopedica di MD5] |
Introduzione
RootkitHunder permette di analizzare il filesystem, sottoponendo alla scansione tutti i file presenti in esso alla ricerca di backdoor e rootkit e non.
Le tecniche di scansione sono:
- Verifica dei codici (has) MD5
- Segnalazione di permessi errati
- Blocco di tutti i moduli del kernel pericolosi
- Scansione dì tutti i file eseguibili
Preparativi
Abilitare i [:Repository/Componenti:componenti] universe dei [:Repository:repository] ufficiali.
Installazione
[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto rkhunter.
Configurazione
Completata l'installazione di RootkitHunter, è necessario aggiornare il programma ed il database utilizzato per eseguire la scansione del sistema, per fare questa operazione digitare in una finestra di terminale il seguente comando:
sudo rkhunter --update
Utilizzo
Per avviare una scansione del sistema alla ricerca di codici maligni oppure intrusi lanciare sempre in una finestra di terminale il seguente comando:
sudo rkhunter -c
Nella tabella seguente vengono riportati e spiegati i principali comandi disponibili:
Opzione |
Descrizione |
--disable-md5-check |
Viene disabilitato il controllo sugli hash MD5. |
--report-mode |
Non vengono visualizzati messaggi aggiuntivi, ma solo il report dell'analisi del sistema. |
--cronjob |
Esegue RootkitHunter automaticamente ad intervalli di tempo regolari. |
--skip-keypress |
Evita di dover premere «ok» alla fine di ogni test. |
Per avere una panoramica completa dei comandi offerti dal programma consultare il relativo manuale, tramite il comando:
man rkhunter
Una volta terminata la fase di controllo, RootkitHunter mostra un report dello stato del sistema, dove è possibile capire se sono presenti dei malfunzionamenti all'interno del computer.
Questo è un esempio del risultato di scansione riportato da RootkitHunter:
System checks summary
=====================
File properties checks...
Files checked: 122
Suspect files: 5
Rootkit checks...
Rootkits checked : 109
Possible rootkits: 2
Applications checks...
Applications checked: 3
Suspect applications: 1
The system checks took: 1 minute and 37 secondsIn questo caso analizzando la scansione sono state trovare le seguenti possibili vulnerabilità nel sistema:
Due possibili rootkit su 109
- Cinque file sospetti su 122
Una applicazione sospettata di essere un rootkit su 3
Il log mostrato sopra è solo una descrizione sommaria riportata alla fine della scansione, per avere una visione completa su quando analizzato da RootkitHunter consultare il relativo file di log /var/log/rkhunter.log.
Nel caso in cui nel log risultano dei file sospetti bisogna utilizzare le patch del kernel.
Le principali patch del kernel anti Rootkit sono le seguenti:
[http://www.lids.org/ Lids]: è una patch capace di bloccare il kernel se qualcuno tenta in maniera non autorizzata di occultare o modificare i PID dei processi, di caricare altri moduli oppure prova a manipolare i file presenti nella cartella /dev.
[http://www.nsa.gov/selinux/ SELinux]: è un abbreviazione di Security Enhanced Linux, questa patch aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il «Mandatory Access Control», nella pratica per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei permessi.
[http://www.nessus.org/nessus/ Nessus]: è un ottimo strumento di tipo «security scanner» per la ricerca da remoto di una o più macchine di qualsiasi tipo di vulnerabilità all' interno del sistema.
[http://www.foundstone.com/us/index.asp Carbonite]: permette il collegamento di ogni processo nella «task_struck», che sarebbe la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa.
[http://www.tripwire.com/ Tripwire]: è uno strumento per il controllo delle «checksum» crittografiche. In poche parole controlla lo stato di determinati file rispetto ad uno stato di partenza.
Ulteriori risorse
[http://www.rootkit.nl/projects/rootkit_hunter.html Sito ufficiale del progetto]
[http://it.wikipedia.org/wiki/Rootkit Voce enciclopedica di RootKit]
[http://it.wikipedia.org/wiki/Backdoor Voce enciclopedica di Backdoor]
[http://it.wikipedia.org/wiki/MD5 Voce enciclopedica di MD5]
