Alle ricerca di rootkit con ChkRootkit e rkhunter
apr 8, 2009 Author: Gianluca | Filed under: Debian, LinuxDa Wikipedia:
Un rootkit, (in ambiente Unix per “root” access si intende accesso di livello amministrativo, quindi letteralmente si potrebbe intendere equipaggiamento da amministratore) è un programma software creato per avere il controllo completo sul sistema senza bisogno di autorizzazione da parte di utente o amministratore. Recentemente alcuni virus informatici si sono avvantaggiati della possibilità di agire come rootkit (processo, file, chiave di registro, porta di rete) all’interno del sistema operativo.
Per capire se sul nostro server ci sono rootkit è necessario:
- controllare i log di sistema alla ricerca di cose anomale
- monitorare attentamente i processi server quali Apache, SSH etc
- controllare le directory su cui tutti possono scrivere come ad esempio /tmp
- vedere il file history alla ricerca di comandi non nostri
- attraverso tool come ntop vedere se ci sono in esecuzione processi non autorizzati
- con netstat o nmap verificare che non ci siano porte aperte non consentite dalla nostra configurazione
- controllare lo spazio su disco utilizzato
Tutto questi controlli portano via tempo e di certo non è un lavoro facile da fare.
In ambiente Linux esistono due tool particolarmente efficienti che fanno al caso nostro: ChkRootkit e rkhunter.
Installiamo il software su Debian:
apt-get install chkrootkit rkhunter
rkhunter
Una volta installato va aggiornato:
rkhunter --update
Adesso possiamo eseguire uno scan sul nostro sistema:
rkhunter -c
L’output è molto esplicito e di facile comprensione.
Utili queste opzioni:
- --createlogfile <file> : l’output viene scritto sul file specificato
- –skip-keypress : non è necessario dare conferme tramite l’esecuzione
ChkRootkit
E’ meno duttile di rkhunter visto che rileva solo una lista ben precisa di rootkit.
Per l’esecuzione è sufficiente:
chkrootkit
Consiglio vivamente di inserire tali contralli nel crond (Debian automatizza tale operazione con rkhunter) ma soprattutto di tenersi aggiornati con i bug di sicurezza attraverso le apposite mailing-list della distribuzione usata o via web con i siti specializzati.
Last 3 LifeStream
-
Today
18 lune e tante stelle... La #Neve è tutto! http://t.co/Zwg5fhky [gianlucagentile]
6h ago via Twitter@AngelikaCoco presto capirai anche tu perché ne vale sempre sempre sempre la pena! Snowboard4Me? It's my life... [gianlucagentile]
7h ago via TwitterEh poi capisci che cos'è la felicità. #Neve [gianlucagentile]
7h ago via Twitter
Powered by Lifestream.
Flickr PhotoStream
Categorie
Ultimi articoli
Ultimi commenti
Blogroll
- Bucchianico.net
- Cancellate's Blog
- Flowers Team
- Il blog di Simone
- Il Bloggatore
- KubiGo
- Sofitek Web Agency
Calendar
| L | M | M | G | V | S | D |
|---|---|---|---|---|---|---|
| « nov | ||||||
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | ||||
Leave a reply