1 760
contributi
APT: differenze tra le versioni
Vai alla navigazione
Vai alla ricerca
added to glossario
(added to glossario) |
(added to glossario) |
||
| Riga 1: | Riga 1: | ||
Come facciamo a scoprire se veniamo infettati da un RootKit? | |||
Con il checksum dei binari di sistema, in questa guida vedremo come fare. | |||
Partiamo dal presupposto che per poter mettere in atto quanto diremo da qui in poi abbiamo bisogno o di una macchina con os appena installato o dobbiamo essere sicuri al 300% che la nostra macchina non sia compromessa. | |||
Partiamo con lo scaricarci uno di questi 2 software AFICK AIDE (si veda fondo pagina per i link). | |||
* [[ | Il bello di questi programmi e che oltre che calcore il checksum dei binari , possono controllare gli accessi, i permessi, il numero di link simbolici e tanto altro ancora, per questa guida io mi basero' su AFICK, a noi interessa il file afick.pl e afick.conf il suo file di configurazione. | ||
mettiamo questi 2 file in <tt>/root</tt> e prepariamoci per modificare il file di conf per esempio: | |||
<pre> | |||
# esempio di file di conf | |||
database:=./afick | |||
warn_dead_symlinks := yes | |||
exclude_suffix := wav WAV mp3 avi | |||
=/ d+i+p+u+g | |||
=/bin p+n+b+m+c+md5 | |||
=/sbin p+n+b+m+c+md5 | |||
=/usr/sbin p+n+b+m+c+md5 | |||
=/usr/bin p+n+b+m+c+md5 | |||
</pre> | |||
dopo aver controllato che la prima riga di afick.pl contenga la locazione precisa dell eseguibile Perl, possiamo passare a inizializzare il database dei nostri binari, | |||
digitiamo da console quanto segue: | |||
<pre> | |||
# ./afick.pl -c afick.conf -i | |||
</pre> | |||
bene cosi' abbiamo creato il nostro database di sistema, ora facciamo passare un po di tempo e poi controlliamo come va' | |||
<pre> | |||
# ./afick.pl -c afick.conf -k | |||
</pre> | |||
se non abbiamo modificato nessun binari inserito nel file di configurazione dovrebbe apparirci in risposta dal programma: | |||
<pre> | |||
Hash Database : numero file scanned 0 changed ecc | |||
</pre> | |||
bene ora proviamo a modificare qualche file, banalmente: | |||
<pre> | |||
# touch /sbin/lilo | |||
# ln-s /sbin/sulogin /usr/sbin/sulogin | |||
</pre> | |||
ora rieseguiamo il controllo come prima, questa volta in risposta avremmo: | |||
<pre> | |||
new symbolic link : /usr/sbin/sulogin | |||
changed file : /sbin/lilo | |||
changed directory :/usr/sbin | |||
</pre> | |||
seguito dai dettagli delle varie operazioni compiute. | |||
Dal momento che sappiamo che queste modifiche le abbiamo fatte noi | |||
ora dobbiamo riaggiornare il database: | |||
<pre> | |||
# ./afick.pl -c afick.conf -u | |||
</pre> | |||
ora sappiamo usare il nostro Monitor di sistema. | |||
Un consiglio che mi sento di darvi e di aggiungere un controllo al db tramite cron in base all uso della macchina ogni giorno ogni 2 ore vedete voi. | |||
==Non � finita qui== | |||
Credete che questo basti, invece no' pensate un momento se un hacker riuscisse a penetrare il vostro sistema, anche se il nostro db fosse conservato in una partizione apposita read-only, se l'hacker riuscisse a guadagnare la root potrebbe rimontare la partizione in r/w e compromettere il nostro db, quindi come fare diciamo che sara' la base per un prossimo articolo e si chiama RFC e GRSEC | |||
==Link== | |||
* http://www.afick.sourceforge.net | |||
* http://www.cs.tut.fi/~rammer/aide.html | |||
Un consiglio scaricate pure chkrootkit e aggiungetelo al cron insieme al tool per il controllo da voi scelto. | |||
* http://www.chkrootkit.org | |||
---- | |||
Autore: debian | |||
[[Categoria:Sicurezza]] | |||
[[Categoria:Networking]] | |||