3 581
contributi
Monitoriamo il Sistema: differenze tra le versioni
Vai alla navigazione
Vai alla ricerca
m
riformattazione
mNessun oggetto della modifica |
m (riformattazione) |
||
| Riga 1: | Riga 1: | ||
{{Versioni compatibili|Squeeze|Wheezy|Jessie}} | {{Versioni compatibili|Squeeze|Wheezy|Jessie}} | ||
== Introduzione == | |||
Come facciamo a scoprire se veniamo infettati da un RootKit? | Come facciamo a scoprire se veniamo infettati da un RootKit? | ||
Con il checksum dei binari di sistema, in questa guida vedremo come fare. | Con il checksum dei binari di sistema, in questa guida vedremo come fare. | ||
| Riga 8: | Riga 9: | ||
Partiamo con lo scaricarci uno di questi due software: AFICK AIDE (si veda fondo pagina per i link). | Partiamo con lo scaricarci uno di questi due software: AFICK AIDE (si veda fondo pagina per i link). | ||
== Configurazione == | |||
Il bello di questi programmi e che oltre che calcolare il checksum dei binari , possono controllare gli accessi, i permessi, il numero di link simbolici e tanto altro ancora, per questa guida io mi baserò su AFICK, a noi interessa il file <code>afick.pl</code> e <code>afick.conf</code> il suo file di configurazione.<br/> | Il bello di questi programmi e che oltre che calcolare il checksum dei binari , possono controllare gli accessi, i permessi, il numero di link simbolici e tanto altro ancora, per questa guida io mi baserò su AFICK, a noi interessa il file <code>afick.pl</code> e <code>afick.conf</code> il suo file di configurazione.<br/> | ||
Mettiamo questi due file in <code>/root</code> e prepariamoci per modificare il file di configurazione, per esempio: | Mettiamo questi due file in <code>/root</code> e prepariamoci per modificare il file di configurazione, per esempio: | ||
| Riga 27: | Riga 29: | ||
</pre> | </pre> | ||
bene, così abbiamo creato il nostro database di sistema | bene, così abbiamo creato il nostro database di sistema. | ||
== Test di funzionamento == | |||
Ora facciamo passare un po' di tempo e poi controlliamo come va. | |||
<pre> | <pre> | ||
| Riga 68: | Riga 73: | ||
==Non è finita qui== | ==Non è finita qui== | ||
Credete che questo basti, invece no. Pensate un momento se un hacker riuscisse a penetrare il vostro sistema; anche se il nostro db fosse conservato in una partizione apposita read-only, se l'hacker riuscisse a guadagnare l'accesso come [[root]] potrebbe rimontare la partizione in r/w e compromettere il nostro db, quindi come fare diciamo che sarà la base per un prossimo articolo e si chiama RFC e GRSEC | Credete che questo basti, invece no. Pensate un momento se un hacker riuscisse a penetrare il vostro sistema; anche se il nostro db fosse conservato in una partizione apposita read-only, se l'hacker riuscisse a guadagnare l'accesso come [[root]] potrebbe rimontare la partizione in r/w e compromettere il nostro db, quindi come fare diciamo che sarà la base per un prossimo articolo e si chiama RFC e GRSEC | ||
==Link== | ==Link== | ||
* http://afick.sourceforge.net | * http://afick.sourceforge.net | ||
* http://www.cs.tut.fi/~rammer/aide.html | * http://www.cs.tut.fi/~rammer/aide.html | ||
| Riga 78: | Riga 81: | ||
* http://www.chkrootkit.org | * http://www.chkrootkit.org | ||
{{Autori | {{Autori | ||