|
Dimensione: 5339
Commento:
|
Dimensione: 4230
Commento:
|
| Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
| Linea 1: | Linea 1: |
| #format wiki #language it |
|
| Linea 4: | Linea 6: |
| '''!RootkitHunder''' è il programma ideale per ogni amministratore di sistema che desidera scoprire intrusi e codice maligno presenti nel proprio pc. | |
| Linea 6: | Linea 7: |
| Il programma permette di analizzare il filesystem, sottoponendo alla scansione tutti i file presenti in esso alla ricerca di '''backdoor''' e '''rootkit''' e non. Le tecniche di scansione sono: * Verifica dei codici (has) MD5 * Segnalazione di permessi errati * Blocco di tutti i moduli del kernel pericolosi * Scansione dì tutti i file eseguibili |
'''Rootkit Hunder''' consente di analizzare il filesystem, sottoponendo alla scansione tutti i file presenti in esso alla ricerca di applicazioni malevoli. |
| Linea 16: | Linea 11: |
| Per utilizzare il programma '''!RootkitHunter''' [:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto ''arkhunter'', presente nel [:Repository/Componenti:componente] '''universe''' dei [:Repository:repository] ufficiali. | Per installare l'applicazione è necessario [:AmministrazioneSistema/InstallareProgrammi:installare] il pacchetto ''rkhunter'', reperibile dal [:Repository/Componenti:componente] '''universe''' dei [:Repository:repository ufficiali]. |
| Linea 18: | Linea 13: |
| Completata l'installazione di '''!RootkitHunter''', prima di utilizzarlo è necessario aggiornare il programma ed il database utilizzato per eseguire la scansione del sistema, per fare questa operazione digitare in una finestra di termiane il seguente comando:{{{ rkhunter --update |
= Configurazione = Completata l'installazione di '''Rootkit Hunter''', è necessario aggiornare il programma e il database utilizzato per eseguire la scansione del sistema; a tale scopo è sufficiente digitare il seguente comando in una finestra di terminale: {{{ sudo rkhunter --update |
| Linea 22: | Linea 20: |
| = Utilizzo = | = Avvio e utilizzo = |
| Linea 24: | Linea 22: |
| Per avviare una scansione del sistema alla ricerca di codici maligni oppure intrusi lanciare sempre in una finestra di terminale il seguente comando: |
Per avviare una scansione del sistema digitare il seguente comando in una finestra di terminale: |
| Linea 30: | Linea 27: |
| Nella tabella seguente vengono riportati e spiegati i principali comandi disponibili: | Quella che segue è una spiegazione dei principali comandi disponibili: |
| Linea 33: | Linea 30: |
| ||<style="text-align:center">'''--createlogfile''' || Viene creato un log della scansione all'interno della cartella` /var/log/rkhunter.log`.|| | |
| Linea 36: | Linea 32: |
| ||<style="text-align:center">'''--cronjob''' || Esegue '''!RootkitHunter''' automaticamente ad intervalli di tempo regolari.|| | ||<style="text-align:center">'''--cronjob''' || Esegue l'applicazione automaticamente a intervalli di tempo regolari.|| |
| Linea 39: | Linea 35: |
| Per avere una panoramica completa dei comandi offerti dal programma consultare il relativo manuale, tramite il comando:{{{ man rkhunter }}} |
Una volta terminata la scansione, l'applicazione mostra un rapporto sullo stato del sistema, grazie al quale sarà possibile capire se sono presenti dei programmai malevoli all'interno del computer. |
| Linea 43: | Linea 37: |
| Una volta terminata la fase di controllo, '''!RootkitHunter''' mostra un report dello stato del sistema, dove è possibile capire se sono presenti dei malfunzionamenti all'interno del computer. = Resoconto = Questo è un esempio del risultato di scansione riportato da '''rootkit hunter''': |
Questo è un esempio del risultato di scansione: |
| Linea 68: | Linea 57: |
| '''Rootkit hunter''' in questo caso ha trovato: | Il log mostrato sopra è solo una descrizione sommaria riportata alla fine della scansione, per avere una visione completa su quanto analizzato da '''Rootkit Hunter''' consultare il file `/var/log/rkhunter.log`. |
| Linea 70: | Linea 59: |
| * Due possibili '''rootkit''' su 109 | Nel caso in cui nel log risultino dei file sospetti è consigliato utilizzare alcune delle seguenti patch del kernel: |
| Linea 72: | Linea 61: |
| * Cinque file sospetti su 122 | * [http://www.lids.org/ lids]: consente di bloccare il kernel nei casi di occultamento o modifica dei PID dei processi, di caricamento di altri moduli e di manipolazione dei file presenti nella cartella `/dev`. |
| Linea 74: | Linea 63: |
| * Una applicazione sospettata di essere un '''rootkit''' su 3 | * [http://www.nsa.gov/selinux/ selinux]: aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il «Mandatory Access Control», nella pratica per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei permessi. |
| Linea 76: | Linea 65: |
| = Un Rootkit! E adesso? = | * [http://www.nessus.org/nessus/ Nessus]: consente la ricerca da remoto di qualsiasi tipo di vulnerabilità all'interno del sistema. |
| Linea 78: | Linea 67: |
| * L'unica contromisura che si può adottare è quella di utilizzare patch del kernel. | * [http://www.foundstone.com/us/index.asp Carbonite]: consente il collegamento di ogni processo nella «task_struck», che sarebbe la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa. |
| Linea 80: | Linea 69: |
| * Allo stato attuale non esiste nessun programma in grado di eliminare '''rootkit''' presenti nel sistema operativo. * Le principali patch del kernel anti '''Rootkit''' sono le seguenti: * '''[http://www.lids.org/ Lids]:''' è una patch capace di bloccare il kernel se qualcuno tenta in maniera non autorizzata di occultare o modificare i PID dei processi, di caricare altri moduli oppure prova a manipolare i file presenti nella cartella `/dev`. * '''[http://www.nsa.gov/selinux/ SELinux]:''' è un abbreviazione di Security Enhanced Linux, questa patch aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il «Mandatory Access Control», nella pratica per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei permessi. * '''[http://www.nessus.org/nessus/ Nessus]:''' è un ottimo strumento di tipo «security scanner» per la ricerca da remoto di una o più macchine di qualsiasi tipo di vulnerabilità all' interno del sistema. * '''[http://www.foundstone.com/us/index.asp Carbonite]:''' permette il collegamento di ogni processo nella «task_struck», che sarebbe la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa. * '''[http://www.tripwire.com/ Tripwire]:''' è uno strumento per il controllo delle «checksum» crittografiche. In poche parole controlla lo stato di determinati file rispetto ad uno stato di partenza. |
* [http://www.tripwire.com/ Tripwire]: uno strumento per il controllo delle «checksum» crittografiche, consente di controllare lo stato di determinati file rispetto ad uno stato di partenza. |
| Linea 95: | Linea 72: |
| Linea 99: | Linea 77: |
Introduzione
Rootkit Hunder consente di analizzare il filesystem, sottoponendo alla scansione tutti i file presenti in esso alla ricerca di applicazioni malevoli.
Installazione
Per installare l'applicazione è necessario [:AmministrazioneSistema/InstallareProgrammi:installare] il pacchetto rkhunter, reperibile dal [:Repository/Componenti:componente] universe dei [:Repository:repository ufficiali].
Configurazione
Completata l'installazione di Rootkit Hunter, è necessario aggiornare il programma e il database utilizzato per eseguire la scansione del sistema; a tale scopo è sufficiente digitare il seguente comando in una finestra di terminale:
sudo rkhunter --update
Avvio e utilizzo
Per avviare una scansione del sistema digitare il seguente comando in una finestra di terminale:
sudo rkhunter -c
Quella che segue è una spiegazione dei principali comandi disponibili:
Opzione |
Descrizione |
--disable-md5-check |
Viene disabilitato il controllo sugli hash MD5. |
--report-mode |
Non vengono visualizzati messaggi aggiuntivi, ma solo il report dell'analisi del sistema. |
--cronjob |
Esegue l'applicazione automaticamente a intervalli di tempo regolari. |
--skip-keypress |
Evita di dover premere «ok» alla fine di ogni test. |
Una volta terminata la scansione, l'applicazione mostra un rapporto sullo stato del sistema, grazie al quale sarà possibile capire se sono presenti dei programmai malevoli all'interno del computer.
Questo è un esempio del risultato di scansione:
System checks summary
=====================
File properties checks...
Files checked: 122
Suspect files: 5
Rootkit checks...
Rootkits checked : 109
Possible rootkits: 2
Applications checks...
Applications checked: 3
Suspect applications: 1
The system checks took: 1 minute and 37 secondsIl log mostrato sopra è solo una descrizione sommaria riportata alla fine della scansione, per avere una visione completa su quanto analizzato da Rootkit Hunter consultare il file /var/log/rkhunter.log.
Nel caso in cui nel log risultino dei file sospetti è consigliato utilizzare alcune delle seguenti patch del kernel:
[http://www.lids.org/ lids]: consente di bloccare il kernel nei casi di occultamento o modifica dei PID dei processi, di caricamento di altri moduli e di manipolazione dei file presenti nella cartella /dev.
[http://www.nsa.gov/selinux/ selinux]: aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il «Mandatory Access Control», nella pratica per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei permessi.
[http://www.nessus.org/nessus/ Nessus]: consente la ricerca da remoto di qualsiasi tipo di vulnerabilità all'interno del sistema.
[http://www.foundstone.com/us/index.asp Carbonite]: consente il collegamento di ogni processo nella «task_struck», che sarebbe la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa.
[http://www.tripwire.com/ Tripwire]: uno strumento per il controllo delle «checksum» crittografiche, consente di controllare lo stato di determinati file rispetto ad uno stato di partenza.
Ulteriori risorse
[http://www.rootkit.nl/projects/rootkit_hunter.html Sito ufficiale del progetto]
[http://it.wikipedia.org/wiki/Rootkit Voce enciclopedica di RootKit]
[http://it.wikipedia.org/wiki/Backdoor Voce enciclopedica di Backdoor]
[http://it.wikipedia.org/wiki/MD5 Voce enciclopedica di MD5]
