Alle ricerca di rootkit con ChkRootkit e rkhunter
apr 8, 2009 Author: Gianluca | Filed under: Debian, LinuxDa Wikipedia:
Un rootkit, (in ambiente Unix per “root” access si intende accesso di livello amministrativo, quindi letteralmente si potrebbe intendere equipaggiamento da amministratore) è un programma software creato per avere il controllo completo sul sistema senza bisogno di autorizzazione da parte di utente o amministratore. Recentemente alcuni virus informatici si sono avvantaggiati della possibilità di agire come rootkit (processo, file, chiave di registro, porta di rete) all’interno del sistema operativo.
Per capire se sul nostro server ci sono rootkit è necessario:
- controllare i log di sistema alla ricerca di cose anomale
- monitorare attentamente i processi server quali Apache, SSH etc
- controllare le directory su cui tutti possono scrivere come ad esempio /tmp
- vedere il file history alla ricerca di comandi non nostri
- attraverso tool come ntop vedere se ci sono in esecuzione processi non autorizzati
- con netstat o nmap verificare che non ci siano porte aperte non consentite dalla nostra configurazione
- controllare lo spazio su disco utilizzato
Tutto questi controlli portano via tempo e di certo non è un lavoro facile da fare.
In ambiente Linux esistono due tool particolarmente efficienti che fanno al caso nostro: ChkRootkit e rkhunter.
Installiamo il software su Debian:
apt-get install chkrootkit rkhunter
rkhunter
Una volta installato va aggiornato:
rkhunter --update
Adesso possiamo eseguire uno scan sul nostro sistema:
rkhunter -c
L’output è molto esplicito e di facile comprensione.
Utili queste opzioni:
- --createlogfile <file> : l’output viene scritto sul file specificato
- –skip-keypress : non è necessario dare conferme tramite l’esecuzione
ChkRootkit
E’ meno duttile di rkhunter visto che rileva solo una lista ben precisa di rootkit.
Per l’esecuzione è sufficiente:
chkrootkit
Consiglio vivamente di inserire tali contralli nel crond (Debian automatizza tale operazione con rkhunter) ma soprattutto di tenersi aggiornati con i bug di sicurezza attraverso le apposite mailing-list della distribuzione usata o via web con i siti specializzati.
Last 3 LifeStream
-
Yesterday
Gianluca il lavoro nobilita l'uomo e lo sport fa bene sono due concetti espressi da un eroinomane. Facendo sport mi sono infortunato e quando torno dal lavoro altro che "nobilitato" mi sento più rincoglionito di una scimmia da laboratorio.
5:18pm via Facebook
-
September 8th
Gianluca quando mi sono svegliato ho scoperto che non era sabato e adesso vado a dormire con la malinconia nel sapere che domani è solo giovedì...so fatt na calat!
9:33pm via Facebook
-
September 7th
Gianluca dai che domani è sabato!
4:40pm via Facebook
Powered by Lifestream.
Flickr PhotoStream
Categorie
Ultimi articoli
Blogroll
- Bucchianico.net
- Cancellate's Blog
- Flowers Team
- Il blog di Simone
- Il Bloggatore
- KubiGo
- Sofitek Web Agency
Calendar
| L | M | M | G | V | S | D |
|---|---|---|---|---|---|---|
| « lug | ||||||
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 | |||
Leave a reply