Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati

Versione 58 del 16/08/2008 17.44.03

Nascondi questo messaggio

Indice

Introduzione

RootkitHunder permette di analizzare il filesystem, sottoponendo alla scansione tutti i file presenti in esso alla ricerca di backdoor e rootkit e non.

Le tecniche di scansione sono:

  • Verifica dei codici (has) MD5
  • Segnalazione di permessi errati
  • Blocco di tutti i moduli del kernel pericolosi
  • Scansione dì tutti i file eseguibili

Preparativi

Abilitare i [:Repository/Componenti:componenti] universe dei [:Repository:repository] ufficiali.

Installazione

[:AmministrazioneSistema/InstallareProgrammi:Installare] il pacchetto rkhunter.

Configurazione

Completata l'installazione di RootkitHunter, è necessario aggiornare il programma ed il database utilizzato per eseguire la scansione del sistema, per fare questa operazione digitare in una finestra di terminale il seguente comando:

sudo rkhunter --update

Utilizzo

Per avviare una scansione del sistema alla ricerca di codici maligni oppure intrusi lanciare sempre in una finestra di terminale il seguente comando: 

sudo rkhunter -c

Nella tabella seguente vengono riportati e spiegati i principali comandi disponibili:

Opzione

Descrizione

--disable-md5-check

Viene disabilitato il controllo sugli hash MD5.

--report-mode

Non vengono visualizzati messaggi aggiuntivi, ma solo il report dell'analisi del sistema.

--cronjob

Esegue RootkitHunter automaticamente ad intervalli di tempo regolari.

--skip-keypress

Evita di dover premere «ok» alla fine di ogni test.

Per avere una panoramica completa dei comandi offerti dal programma consultare il relativo manuale, tramite il comando:

man rkhunter

Una volta terminata la fase di controllo, RootkitHunter mostra un report dello stato del sistema, dove è possibile capire se sono presenti dei malfunzionamenti all'interno del computer.

Questo è un esempio del risultato di scansione riportato da RootkitHunter: 

System checks summary
=====================

File properties checks...
    Files checked: 122
    Suspect files: 5

Rootkit checks...
    Rootkits checked : 109
    Possible rootkits: 2

Applications checks...
    Applications checked: 3
    Suspect applications: 1

The system checks took: 1 minute and 37 seconds

In questo caso analizzando la scansione sono state trovare le seguenti possibili vulnerabilità nel sistema:

  • Due possibili rootkit su 109

  • Cinque file sospetti su 122

  • Una applicazione sospettata di essere un rootkit su 3

Il log mostrato sopra è solo una descrizione sommaria riportata alla fine della scansione, per avere una visione completa su quando analizzato da RootkitHunter consultare il relativo file di log /var/log/rkhunter.log.

Nel caso in cui nel log risultano dei file sospetti bisogna utilizzare le patch del kernel.

Le principali patch del kernel anti Rootkit sono le seguenti:

  • [http://www.lids.org/ Lids]: è una patch capace di bloccare il kernel se qualcuno tenta in maniera non autorizzata di occultare o modificare i PID dei processi, di caricare altri moduli oppure prova a manipolare i file presenti nella cartella /dev.

  • [http://www.nsa.gov/selinux/ SELinux]: è un abbreviazione di Security Enhanced Linux, questa patch aumenta il grado si sicurezza del proprio sistema operativo. Il principio su cui è basato è il «Mandatory Access Control», nella pratica per cui il MAC impedisce ai processi di andare oltre quelli che sono i limiti imposti dall'amministratore del sistema. Inoltre controlla che gli utenti del sistema possano controllare e gestire liberamente i file e le impostazioni di sistema, per evitare che ci siano state manomissioni nei permessi.

  • [http://www.nessus.org/nessus/ Nessus]: è un ottimo strumento di tipo «security scanner» per la ricerca da remoto di una o più macchine di qualsiasi tipo di vulnerabilità all' interno del sistema.

  • [http://www.foundstone.com/us/index.asp Carbonite]: permette il collegamento di ogni processo nella «task_struck», che sarebbe la struttura che raccoglie tutte le le info relative ai processi di sistema, per individuare i processi pericolosi una volta che la macchina è stata manomessa.

  • [http://www.tripwire.com/ Tripwire]: è uno strumento per il controllo delle «checksum» crittografiche. In poche parole controlla lo stato di determinati file rispetto ad uno stato di partenza.

Ulteriori risorse

CategoryHomepage