|
Dimensione: 4164
Commento:
|
Dimensione: 4701
Commento: Revisione
|
| Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
| Linea 2: | Linea 2: |
| [[VersioniSupportate(hardy)]] | |
| Linea 7: | Linea 6: |
| Il software permette di analizzare il file system, sottoponendo alla scansione tutti i file presenti in esso (come ad es. shell e script) alla ricerca di '''backdoor''' e '''rootkit''' e non. | Il programma permette di analizzare il filesystem, sottoponendo alla scansione tutti i file presenti in esso alla ricerca di '''backdoor''' e '''rootkit''' e non. |
| Linea 10: | Linea 9: |
| * Verifica dei codici (has) MD5 . * Segnalazione di permessi errati. * Blocco di tutti i moduli del kernel pericolosi e scansione dì tutti i file eseguibili. |
* Verifica dei codici (has) MD5 * Segnalazione di permessi errati * Blocco di tutti i moduli del kernel pericolosi * Scansione dì tutti i file eseguibili |
| Linea 14: | Linea 15: |
| Per [:AmministrazioneSistema/InstallareProgrammi:installare] il programma '''!RootkitHunter''' digitare in [:AmministrazioneSistema/RigaDiComando:terminale]: | |
| Linea 16: | Linea 16: |
| {{{ sudo apt-get install rkhunter }}} |
Per utilizzare il programma '''!RootkitHunter''' [:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto ''arkhunter'', presente nel [:Repository/Componenti:componente] '''universe''' dei [:Repository:repository] ufficiali. |
| Linea 20: | Linea 18: |
| Completata l'installazione di '''Rootkit Hunter''', prima di utilizzarlo è necessario aggiornare, sia il software, sia il database utilizzato per eseguire la scansione del sistema. Digitare in [:AmministrazioneSistema/RigaDiComando:terminale]: {{{ |
Completata l'installazione di '''!RootkitHunter''', prima di utilizzarlo è necessario aggiornare il programma ed il database utilizzato per eseguire la scansione del sistema, per fare questa operazione digitare in una finestra di termiane il seguente comando:{{{ |
| Linea 30: | Linea 24: |
| Per scansionare il sistema digitare: | Per avviare una scansione del sistema alla ricerca di codici maligni oppure intrusi lanciare sempre in una finestra di terminale il seguente comando: |
| Linea 36: | Linea 30: |
| Nella tabella di seguito vengono illustrati e spiegati gran parte dei comandi disponibili. | Nella tabella seguente vengono riportati e spiegati i principali comandi disponibili: |
| Linea 39: | Linea 33: |
| ||<style="text-align:center">'''- -createlogfile''' || Crea un file di log della scansione in ''/var/log/rkhunter.log''.|| ||<style="text-align:center">'''- -disable-md5-check''' || Non esegue il controllo sugli hash MD5.|| ||<style="text-align:center">'''- -report-mode''' || Non visualizzare messaggi aggiuntivi, ma solo il report dell' analisi del sistema.|| ||<style="text-align:center">'''- -cronjob''' || Esegue '''Rootkit Hunter''' automaticamente ad intervalli di tempo regolari.|| ||<style="text-align:center">'''- -skip-keypress''' || Evita di dover premere '''ok''' alla fine di ogni test.|| |
||<style="text-align:center">'''--createlogfile''' || Viene creato un log della scansione all'interno della cartella`/var/log/rkhunter.log`.|| ||<style="text-align:center">'''--disable-md5-check''' || Viene disabilitato il controllo sugli hash MD5.|| ||<style="text-align:center">'''--report-mode''' || Non vengono visualizzati messaggi aggiuntivi, ma solo il report dell'analisi del sistema.|| ||<style="text-align:center">'''--cronjob''' || Esegue '''!RootkitHunter''' automaticamente ad intervalli di tempo regolari.|| ||<style="text-align:center">'''--skip-keypress''' || Evita di dover premere «'''ok'''» alla fine di ogni test.|| |
| Linea 45: | Linea 39: |
| Una volta terminata la fase di controllo, '''Rootkit Hunter''' mostra un report dello stato del sistema. | Per avere una panoramica completa dei comandi offerti dal programma consultare il relativo manuale, tramite il comando:{{{ man rkhunter }}} |
| Linea 47: | Linea 43: |
| Basta darci uno sguardo per capire se c'è qualcosa che non va nel computer. | Una volta terminata la fase di controllo, '''!RootkitHunter''' mostra un report dello stato del sistema, dove è possibile capire se sono presenti dei malfunzionamenti all'interno del computer. |
| Linea 51: | Linea 47: |
| L'unica contromisura che si può adottare è quella di utilizzare patch del '''kernel'''. | * L'unica contromisura che si può adottare è quella di utilizzare patch del kernel. |
| Linea 53: | Linea 49: |
| Allo stato attuale non esiste nessun programma in grado di eliminare '''rootkit''' presenti nel sistema operativo. | * Allo stato attuale non esiste nessun programma in grado di eliminare '''rootkit''' presenti nel sistema operativo. |
| Linea 55: | Linea 51: |
| Le principali patch del '''kernel''' anti '''Rootkit''' sono le seguenti: | * Le principali patch del kernel anti '''Rootkit''' sono le seguenti: |
| Linea 57: | Linea 53: |
| * '''[http://www.lids.org/ Lids]''' è una patch capace di bloccare il '''kernel''' se qualcuno tenta in maniera non autorizzata di occultare o modificare i PID dei processi, di caricare altri moduli oppure prova a manipolare i file presenti nella directory ''/dev''. | * '''[http://www.lids.org/ Lids]:''' è una patch capace di bloccare il kernel se qualcuno tenta in maniera non autorizzata di occultare o modificare i PID dei processi, di caricare altri moduli oppure prova a manipolare i file presenti nella cartella `/dev`. |
| Linea 59: | Linea 55: |
| * '''[http://www.nsa.gov/selinux/ SELinux]''' è un abbreviazione di Security Enhanced Linux, questa patch aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il Mandatory Access Control, nella prativa per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei permessi. | * '''[http://www.nsa.gov/selinux/ SELinux]:''' è un abbreviazione di Security Enhanced Linux, questa patch aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il «Mandatory Access Control», nella pratica per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei permessi. |
| Linea 61: | Linea 57: |
| * '''[http://www.nessus.org/nessus/ Nessus]''' è un ottimo strumento di tipo security scanner per la ricerca da remoto di una o più macchine di qualsiasi tipo di vulnerabilità all' interno del sistema. | * '''[http://www.nessus.org/nessus/ Nessus]:''' è un ottimo strumento di tipo «security scanner» per la ricerca da remoto di una o più macchine di qualsiasi tipo di vulnerabilità all' interno del sistema. |
| Linea 63: | Linea 59: |
| * '''[http://www.foundstone.com/us/index.asp Carbonite]''' permette il collegamento di ogni processo nella "task_struck" (la struttura che raccoglie tutte le le info relative ai processi di sistema), per individuare i processi pericolosi una volta che la macchina è stata manomessa. | * '''[http://www.foundstone.com/us/index.asp Carbonite]:''' permette il collegamento di ogni processo nella «task_struck», che sarebbe la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa. |
| Linea 65: | Linea 61: |
| * '''[http://www.tripwire.com/ Tripwire]''' è uno strumento per il controllo delle checksum crittografiche. In poche parole controlla lo stato di determinati file rispetto ad uno stato di partenza. | * '''[http://www.tripwire.com/ Tripwire]:''' è uno strumento per il controllo delle «checksum» crittografiche. In poche parole controlla lo stato di determinati file rispetto ad uno stato di partenza. |
| Linea 68: | Linea 64: |
| [http://www.rootkit.nl/projects/rootkit_hunter.html Sito ufficiale] | * [http://www.rootkit.nl/projects/rootkit_hunter.html Sito ufficiale del progetto] * [http://it.wikipedia.org/wiki/Rootkit Voce enciclopedica di RootKit] * [http://it.wikipedia.org/wiki/Backdoor Voce enciclopedica di Backdoor] * [http://it.wikipedia.org/wiki/MD5 Voce enciclopedica di MD5] |
Introduzione
Rootkit è il programma ideale per ogni amministratore di sistema che desidera scoprire intrusi e codice maligno presenti nel proprio pc.
Il programma permette di analizzare il filesystem, sottoponendo alla scansione tutti i file presenti in esso alla ricerca di backdoor e rootkit e non.
Le tecniche di scansione sono:
- Verifica dei codici (has) MD5
- Segnalazione di permessi errati
- Blocco di tutti i moduli del kernel pericolosi
- Scansione dì tutti i file eseguibili
Installazione
Per utilizzare il programma RootkitHunter [:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto arkhunter, presente nel [:Repository/Componenti:componente] universe dei [:Repository:repository] ufficiali.
Completata l'installazione di RootkitHunter, prima di utilizzarlo è necessario aggiornare il programma ed il database utilizzato per eseguire la scansione del sistema, per fare questa operazione digitare in una finestra di termiane il seguente comando:
rkhunter --update
Utilizzo
Per avviare una scansione del sistema alla ricerca di codici maligni oppure intrusi lanciare sempre in una finestra di terminale il seguente comando:
sudo rkhunter --checkall
Nella tabella seguente vengono riportati e spiegati i principali comandi disponibili:
Opzione |
Descrizione |
--createlogfile |
Viene creato un log della scansione all'interno della cartella/var/log/rkhunter.log. |
--disable-md5-check |
Viene disabilitato il controllo sugli hash MD5. |
--report-mode |
Non vengono visualizzati messaggi aggiuntivi, ma solo il report dell'analisi del sistema. |
--cronjob |
Esegue RootkitHunter automaticamente ad intervalli di tempo regolari. |
--skip-keypress |
Evita di dover premere «ok» alla fine di ogni test. |
Per avere una panoramica completa dei comandi offerti dal programma consultare il relativo manuale, tramite il comando:
man rkhunter
Una volta terminata la fase di controllo, RootkitHunter mostra un report dello stato del sistema, dove è possibile capire se sono presenti dei malfunzionamenti all'interno del computer.
Un Rootkit! E adesso?
- L'unica contromisura che si può adottare è quella di utilizzare patch del kernel.
Allo stato attuale non esiste nessun programma in grado di eliminare rootkit presenti nel sistema operativo.
Le principali patch del kernel anti Rootkit sono le seguenti:
[http://www.lids.org/ Lids]: è una patch capace di bloccare il kernel se qualcuno tenta in maniera non autorizzata di occultare o modificare i PID dei processi, di caricare altri moduli oppure prova a manipolare i file presenti nella cartella /dev.
[http://www.nsa.gov/selinux/ SELinux]: è un abbreviazione di Security Enhanced Linux, questa patch aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il «Mandatory Access Control», nella pratica per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei permessi.
[http://www.nessus.org/nessus/ Nessus]: è un ottimo strumento di tipo «security scanner» per la ricerca da remoto di una o più macchine di qualsiasi tipo di vulnerabilità all' interno del sistema.
[http://www.foundstone.com/us/index.asp Carbonite]: permette il collegamento di ogni processo nella «task_struck», che sarebbe la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa.
[http://www.tripwire.com/ Tripwire]: è uno strumento per il controllo delle «checksum» crittografiche. In poche parole controlla lo stato di determinati file rispetto ad uno stato di partenza.
Ulteriori risorse
[http://www.rootkit.nl/projects/rootkit_hunter.html Sito ufficiale del progetto]
[http://it.wikipedia.org/wiki/Rootkit Voce enciclopedica di RootKit]
[http://it.wikipedia.org/wiki/Backdoor Voce enciclopedica di Backdoor]
[http://it.wikipedia.org/wiki/MD5 Voce enciclopedica di MD5]
