Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati

Versione 48 del 11/08/2008 20.21.16

Nascondi questo messaggio

Indice

Introduzione

RootkitHunder è il programma ideale per ogni amministratore di sistema che desidera scoprire intrusi e codice maligno presenti nel proprio pc.

Il programma permette di analizzare il filesystem, sottoponendo alla scansione tutti i file presenti in esso alla ricerca di backdoor e rootkit e non.

Le tecniche di scansione sono:

  • Verifica dei codici (has) MD5
  • Segnalazione di permessi errati
  • Blocco di tutti i moduli del kernel pericolosi
  • Scansione dì tutti i file eseguibili

Installazione

Per utilizzare il programma RootkitHunter [:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto arkhunter, presente nel [:Repository/Componenti:componente] universe dei [:Repository:repository] ufficiali.

Completata l'installazione di RootkitHunter, prima di utilizzarlo è necessario aggiornare il programma ed il database utilizzato per eseguire la scansione del sistema, per fare questa operazione digitare in una finestra di termiane il seguente comando:

rkhunter --update

Utilizzo

Per avviare una scansione del sistema alla ricerca di codici maligni oppure intrusi lanciare sempre in una finestra di terminale il seguente comando: 

sudo rkhunter -c

Nella tabella seguente vengono riportati e spiegati i principali comandi disponibili:

Opzione

Descrizione

--createlogfile

Viene creato un log della scansione all'interno della cartella /var/log/rkhunter.log.

--disable-md5-check

Viene disabilitato il controllo sugli hash MD5.

--report-mode

Non vengono visualizzati messaggi aggiuntivi, ma solo il report dell'analisi del sistema.

--cronjob

Esegue RootkitHunter automaticamente ad intervalli di tempo regolari.

--skip-keypress

Evita di dover premere «ok» alla fine di ogni test.

Per avere una panoramica completa dei comandi offerti dal programma consultare il relativo manuale, tramite il comando:

man rkhunter

Una volta terminata la fase di controllo, RootkitHunter mostra un report dello stato del sistema, dove è possibile capire se sono presenti dei malfunzionamenti all'interno del computer.

Un Rootkit! E adesso?

  • L'unica contromisura che si può adottare è quella di utilizzare patch del kernel.

  • Allo stato attuale non esiste nessun programma in grado di eliminare rootkit presenti nel sistema operativo.

  • Le principali patch del kernel anti Rootkit sono le seguenti:

    • [http://www.lids.org/ Lids]: è una patch capace di bloccare il kernel se qualcuno tenta in maniera non autorizzata di occultare o modificare i PID dei processi, di caricare altri moduli oppure prova a manipolare i file presenti nella cartella /dev.

    • [http://www.nsa.gov/selinux/ SELinux]: è un abbreviazione di Security Enhanced Linux, questa patch aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il «Mandatory Access Control», nella pratica per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei permessi.

    • [http://www.nessus.org/nessus/ Nessus]: è un ottimo strumento di tipo «security scanner» per la ricerca da remoto di una o più macchine di qualsiasi tipo di vulnerabilità all' interno del sistema.

    • [http://www.foundstone.com/us/index.asp Carbonite]: permette il collegamento di ogni processo nella «task_struck», che sarebbe la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa.

    • [http://www.tripwire.com/ Tripwire]: è uno strumento per il controllo delle «checksum» crittografiche. In poche parole controlla lo stato di determinati file rispetto ad uno stato di partenza.

Resoconto

Questo è un esempio del risultato della scansione riportata da rootkit hunter: 

System checks summary
=====================

File properties checks...
    Files checked: 122
    Suspect files: 5

Rootkit checks...
    Rootkits checked : 109
    Possible rootkits: 2

Applications checks...
    Applications checked: 3
    Suspect applications: 1

The system checks took: 1 minute and 37 seconds

Rootkit hunter in questo caso ha trovato:

  • 5 file sospetti di poter essere dei rootkit
  • 2 possibili rootkit

  • Una applicazione sospettata di essere un rootkit

Ulteriori risorse

CategoryHomepage