|
Dimensione: 22353
Commento:
|
Dimensione: 5851
Commento:
|
| Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
| Linea 63: | Linea 63: |
| = Ulteriori risorse = * [http://www.rootkit.nl/projects/rootkit_hunter.html Sito ufficiale del progetto] * [http://it.wikipedia.org/wiki/Rootkit Voce enciclopedica di RootKit] * [http://it.wikipedia.org/wiki/Backdoor Voce enciclopedica di Backdoor] * [http://it.wikipedia.org/wiki/MD5 Voce enciclopedica di MD5] |
= Resoconto = |
| Linea 69: | Linea 65: |
| = Da modificare = Questo è un esempio della scansione riportata da '''rootkit hunter''': |
Questo è un esempio del processo di scansione riportata da '''rootkit hunter''': |
| Linea 74: | Linea 68: |
| [ Rootkit Hunter version 1.3.0 ] |
|
| Linea 84: | Linea 76: |
| Checking LD_LIBRARY_PATH variable [ Not found ] Performing file properties checks Checking for prerequisites [ OK ] /bin/bash [ OK ] /bin/cat [ OK ] /bin/chmod [ OK ] /bin/chown [ OK ] /bin/cp [ OK ] /bin/date [ OK ] /bin/df [ OK ] |
|
| Linea 96: | Linea 77: |
| /bin/echo [ OK ] /bin/ed [ OK ] /bin/egrep [ OK ] /bin/fgrep [ OK ] /bin/grep [ OK ] /bin/ip [ OK ] /bin/kill [ OK ] /bin/login [ OK ] /bin/ls [ OK ] /bin/lsmod [ OK ] /bin/mktemp [ OK ] /bin/more [ Warning ] /bin/mount [ Warning ] /bin/mv [ OK ] /bin/netstat [ OK ] /bin/ps [ OK ] /bin/pwd [ OK ] /bin/readlink [ OK ] /bin/sed [ OK ] /bin/sh [ OK ] /bin/su [ OK ] /bin/touch [ OK ] /bin/uname [ OK ] /bin/which [ OK ] /bin/dash [ OK ] /usr/bin/awk [ OK ] /usr/bin/basename [ OK ] /usr/bin/chattr [ OK ] /usr/bin/cut [ OK ] /usr/bin/diff [ OK ] /usr/bin/dirname [ OK ] /usr/bin/dpkg [ OK ] /usr/bin/dpkg-query [ OK ] /usr/bin/du [ OK ] /usr/bin/env [ OK ] /usr/bin/file [ OK ] /usr/bin/find [ OK ] /usr/bin/GET [ OK ] /usr/bin/groups [ OK ] /usr/bin/head [ OK ] /usr/bin/id [ OK ] /usr/bin/killall [ OK ] /usr/bin/last [ OK ] /usr/bin/lastlog [ OK ] /usr/bin/ldd [ OK ] /usr/bin/less [ OK ] /usr/bin/locate [ OK ] /usr/bin/logger [ Warning ] /usr/bin/lsattr [ OK ] /usr/bin/lsof [ OK ] /usr/bin/md5sum [ OK ] /usr/bin/mlocate [ OK ] /usr/bin/newgrp [ OK ] /usr/bin/passwd [ OK ] /usr/bin/perl [ OK ] /usr/bin/pstree [ OK ] /usr/bin/rkhunter [ OK ] /usr/bin/runcon [ OK ] /usr/bin/sha1sum [ OK ] /usr/bin/size [ OK ] /usr/bin/sort [ OK ] /usr/bin/stat [ OK ] /usr/bin/strace [ OK ] /usr/bin/strings [ OK ] /usr/bin/sudo [ OK ] /usr/bin/tail [ OK ] /usr/bin/test [ OK ] /usr/bin/top [ OK ] /usr/bin/touch [ OK ] /usr/bin/tr [ OK ] /usr/bin/uniq [ OK ] /usr/bin/users [ OK ] /usr/bin/vmstat [ OK ] /usr/bin/w [ OK ] /usr/bin/watch [ OK ] /usr/bin/wc [ OK ] /usr/bin/wget [ OK ] /usr/bin/whatis [ OK ] /usr/bin/whereis [ Warning ] /usr/bin/which [ OK ] /usr/bin/who [ OK ] /usr/bin/whoami [ OK ] /usr/bin/mawk [ OK ] /usr/bin/lwp-request [ OK ] /usr/bin/w.procps [ OK ] /sbin/depmod [ OK ] /sbin/ifconfig [ OK ] /sbin/ifdown [ OK ] /sbin/ifup [ OK ] /sbin/init [ OK ] /sbin/insmod [ OK ] /sbin/ip [ OK ] /sbin/lsmod [ OK ] /sbin/modinfo [ OK ] /sbin/modprobe [ OK ] /sbin/rmmod [ OK ] /sbin/runlevel [ OK ] /sbin/sulogin [ OK ] /sbin/sysctl [ OK ] /sbin/syslogd [ OK ] /usr/sbin/adduser [ OK ] /usr/sbin/chroot [ OK ] /usr/sbin/cron [ OK ] /usr/sbin/groupadd [ OK ] /usr/sbin/groupdel [ OK ] /usr/sbin/groupmod [ OK ] /usr/sbin/grpck [ OK ] /usr/sbin/nologin [ OK ] /usr/sbin/pwck [ OK ] /usr/sbin/tcpd [ OK ] /usr/sbin/useradd [ OK ] /usr/sbin/userdel [ OK ] /usr/sbin/usermod [ OK ] /usr/sbin/vipw [ OK ] Checking for rootkits... Performing check of known rootkit files and directories 55808 Trojan - Variant A [ Not found ] ADM Worm [ Not found ] AjaKit Rootkit [ Not found ] aPa Kit [ Not found ] Apache Worm [ Not found ] Ambient (ark) Rootkit [ Not found ] Balaur Rootkit [ Not found ] BeastKit Rootkit [ Not found ] beX2 Rootkit [ Not found ] BOBKit Rootkit [ Not found ] CiNIK Worm (Slapper.B variant) [ Not found ] Danny-Boy's Abuse Kit [ Not found ] Devil RootKit [ Not found ] Dica-Kit Rootkit [ Not found ] Dreams Rootkit [ Not found ] Duarawkz Rootkit [ Not found ] Enye LKM [ Not found ] Flea Linux Rootkit [ Not found ] FreeBSD Rootkit [ Not found ] f**k`it Rootkit [ Not found ] GasKit Rootkit [ Not found ] Heroin LKM [ Not found ] HjC Kit [ Not found ] ignoKit Rootkit [ Not found ] ImperalsS-FBRK Rootkit [ Not found ] Irix Rootkit [ Not found ] Kitko Rootkit [ Not found ] Knark Rootkit [ Not found ] Li0n Worm [ Not found ] Lockit / LJK2 Rootkit [ Not found ] Mood-NT Rootkit [ Not found ] MRK Rootkit [ Not found ] Ni0 Rootkit [ Not found ] Ohhara Rootkit [ Not found ] Optic Kit (Tux) Worm [ Not found ] Oz Rootkit [ Not found ] Phalanx Rootkit [ Not found ] Phalanx Rootkit (strings) [ Not found ] Portacelo Rootkit [ Not found ] R3dstorm Toolkit [ Not found ] RH-Sharpe's Rootkit [ Not found ] RSHA's Rootkit [ Not found ] Scalper Worm [ Not found ] Sebek LKM [ Not found ] Shutdown Rootkit [ Not found ] SHV4 Rootkit [ Not found ] SHV5 Rootkit [ Not found ] Sin Rootkit [ Not found ] Slapper Worm [ Not found ] Sneakin Rootkit [ Not found ] Suckit Rootkit [ Not found ] SunOS Rootkit [ Not found ] SunOS / NSDAP Rootkit [ Not found ] Superkit Rootkit [ Not found ] TBD (Telnet BackDoor) [ Not found ] TeLeKiT Rootkit [ Not found ] T0rn Rootkit [ Not found ] Trojanit Kit [ Not found ] Tuxtendo Rootkit [ Not found ] URK Rootkit [ Not found ] VcKit Rootkit [ Not found ] Volc Rootkit [ Not found ] X-Org SunOS Rootkit [ Not found ] zaRwT.KiT Rootkit [ Not found ] Performing additional rootkit checks Suckit Rookit additional checks [ OK ] Checking for possible rootkit files and directories [ None found ] Checking for possible rootkit strings [ None found ] Performing malware checks Checking running processes for suspicious files [ None found ] Checking for login backdoors [ None found ] Checking for suspicious directories [ None found ] Checking for sniffer log files [ None found ] Performing Linux specific checks Checking kernel module commands [ OK ] Checking kernel module names [ OK ] Checking the network... Performing check for backdoor ports Checking for UDP port 2001 [ Not found ] Checking for TCP port 2006 [ Not found ] Checking for TCP port 2128 [ Not found ] Checking for TCP port 14856 [ Not found ] Checking for TCP port 47107 [ Not found ] Checking for TCP port 60922 [ Not found ] Performing checks on the network interfaces Checking for promiscuous interfaces [ None found ] Checking the local host... Performing system boot checks Checking for local host name [ Found ] Checking for local startup files [ Found ] Checking local startup files for malware [ None found ] Checking system startup files for malware [ None found ] Performing group and account checks Checking for passwd file [ Found ] Checking for root equivalent (UID 0) accounts [ None found ] Checking for passwordless accounts [ None found ] Checking for passwd file changes [ None found ] Checking for group file changes [ None found ] Checking root account shell history files [ None found ] Performing system configuration file checks Checking for SSH configuration file [ Not found ] Checking for running syslog daemon [ Found ] Checking for syslog configuration file [ Found ] Checking if syslog remote logging is allowed [ Not allowed ] Performing filesystem checks Checking /dev for suspicious file types [ Warning ] Checking for hidden files and directories [ Warning ] Checking application versions... Checking version of Exim MTA [ OK ] Checking version of GnuPG [ OK ] Checking version of OpenSSL [ OK ] |
}}} |
| Linea 340: | Linea 80: |
Questo è un esempio del risultato della scansione riportata da '''rootkit hunter''': {{{ |
|
| Linea 349: | Linea 93: |
| Possible rootkits: 1 | Possible rootkits: 2 |
| Linea 356: | Linea 100: |
All results have been written to the logfile (/var/log/rkhunter.log) One or more warnings have been found while checking the system. Please check the log file (/var/log/rkhunter.log) |
|
| Linea 363: | Linea 102: |
| '''Rootkit hunter''' in questo caso ha trovato: | |
| Linea 364: | Linea 104: |
| * Due possibili '''rootkit''' su 109 * Cinque file sospetti su 122 * Una applicazione sospettata di essere un '''rootkit''' su 3 = Ulteriori risorse = * [http://www.rootkit.nl/projects/rootkit_hunter.html Sito ufficiale del progetto] * [http://it.wikipedia.org/wiki/Rootkit Voce enciclopedica di RootKit] * [http://it.wikipedia.org/wiki/Backdoor Voce enciclopedica di Backdoor] * [http://it.wikipedia.org/wiki/MD5 Voce enciclopedica di MD5] |
Introduzione
RootkitHunder è il programma ideale per ogni amministratore di sistema che desidera scoprire intrusi e codice maligno presenti nel proprio pc.
Il programma permette di analizzare il filesystem, sottoponendo alla scansione tutti i file presenti in esso alla ricerca di backdoor e rootkit e non.
Le tecniche di scansione sono:
- Verifica dei codici (has) MD5
- Segnalazione di permessi errati
- Blocco di tutti i moduli del kernel pericolosi
- Scansione dì tutti i file eseguibili
Installazione
Per utilizzare il programma RootkitHunter [:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto arkhunter, presente nel [:Repository/Componenti:componente] universe dei [:Repository:repository] ufficiali.
Completata l'installazione di RootkitHunter, prima di utilizzarlo è necessario aggiornare il programma ed il database utilizzato per eseguire la scansione del sistema, per fare questa operazione digitare in una finestra di termiane il seguente comando:
rkhunter --update
Utilizzo
Per avviare una scansione del sistema alla ricerca di codici maligni oppure intrusi lanciare sempre in una finestra di terminale il seguente comando:
sudo rkhunter -c
Nella tabella seguente vengono riportati e spiegati i principali comandi disponibili:
Opzione |
Descrizione |
--createlogfile |
Viene creato un log della scansione all'interno della cartella /var/log/rkhunter.log. |
--disable-md5-check |
Viene disabilitato il controllo sugli hash MD5. |
--report-mode |
Non vengono visualizzati messaggi aggiuntivi, ma solo il report dell'analisi del sistema. |
--cronjob |
Esegue RootkitHunter automaticamente ad intervalli di tempo regolari. |
--skip-keypress |
Evita di dover premere «ok» alla fine di ogni test. |
Per avere una panoramica completa dei comandi offerti dal programma consultare il relativo manuale, tramite il comando:
man rkhunter
Una volta terminata la fase di controllo, RootkitHunter mostra un report dello stato del sistema, dove è possibile capire se sono presenti dei malfunzionamenti all'interno del computer.
Un Rootkit! E adesso?
- L'unica contromisura che si può adottare è quella di utilizzare patch del kernel.
Allo stato attuale non esiste nessun programma in grado di eliminare rootkit presenti nel sistema operativo.
Le principali patch del kernel anti Rootkit sono le seguenti:
[http://www.lids.org/ Lids]: è una patch capace di bloccare il kernel se qualcuno tenta in maniera non autorizzata di occultare o modificare i PID dei processi, di caricare altri moduli oppure prova a manipolare i file presenti nella cartella /dev.
[http://www.nsa.gov/selinux/ SELinux]: è un abbreviazione di Security Enhanced Linux, questa patch aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il «Mandatory Access Control», nella pratica per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei permessi.
[http://www.nessus.org/nessus/ Nessus]: è un ottimo strumento di tipo «security scanner» per la ricerca da remoto di una o più macchine di qualsiasi tipo di vulnerabilità all' interno del sistema.
[http://www.foundstone.com/us/index.asp Carbonite]: permette il collegamento di ogni processo nella «task_struck», che sarebbe la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa.
[http://www.tripwire.com/ Tripwire]: è uno strumento per il controllo delle «checksum» crittografiche. In poche parole controlla lo stato di determinati file rispetto ad uno stato di partenza.
Resoconto
Questo è un esempio del processo di scansione riportata da rootkit hunter:
Checking system commands...
Performing 'strings' command checks
Checking 'strings' command [ OK ]
Performing 'shared libraries' checks
Checking for preloading variables [ None found ]
Checking for preload file [ Not found ]
/bin/dmesg [ Warning ]Questo è un esempio del risultato della scansione riportata da rootkit hunter:
System checks summary
=====================
File properties checks...
Files checked: 122
Suspect files: 5
Rootkit checks...
Rootkits checked : 109
Possible rootkits: 2
Applications checks...
Applications checked: 3
Suspect applications: 1
The system checks took: 1 minute and 37 secondsRootkit hunter in questo caso ha trovato:
Due possibili rootkit su 109
- Cinque file sospetti su 122
Una applicazione sospettata di essere un rootkit su 3
Ulteriori risorse
[http://www.rootkit.nl/projects/rootkit_hunter.html Sito ufficiale del progetto]
[http://it.wikipedia.org/wiki/Rootkit Voce enciclopedica di RootKit]
[http://it.wikipedia.org/wiki/Backdoor Voce enciclopedica di Backdoor]
[http://it.wikipedia.org/wiki/MD5 Voce enciclopedica di MD5]
