Lista Hardware: differenze tra le versioni

Vai alla navigazione Vai alla ricerca

Lista Hardware (visualizza wikitesto)

Versione delle 22:51, 1 apr 2006

277 byte rimossi ,  1 apr 2006
m
rimossa categoria di prova
mNessun oggetto della modifica
m (rimossa categoria di prova)
Riga 1: Riga 1:
Come facciamo a scoprire se veniamo infettati da un RootKit?
<div align="right" style="float: right;">
 
{| {{prettytable}}
Con il checksum dei binari di sistema, in questa guida vedremo come fare.
| colspan="2" align="center" | A partire da
 
|-
Partiamo dal presupposto che per poter mettere in atto quanto diremo da qui in poi abbiamo bisogno o di una macchina con os appena installato o dobbiamo essere sicuri al 300% che la nostra macchina non sia compromessa.
| <acronym title="Da quale versione di Debian � supportato">Debian</acronym>
 
| bgcolor="white" | {{{1}}}
Partiamo con lo scaricarci uno di questi 2 software AFICK AIDE (si veda fondo pagina per i link).
|-
 
| <acronym title="Da quale versione del Kernel � nativamente supportato">Kernel</acronym>  
Il bello di questi programmi e che oltre che calcore il checksum dei binari , possono controllare gli accessi, i permessi, il numero di link simbolici e tanto altro ancora, per questa guida io mi basero' su AFICK, a noi interessa il file afick.pl e afick.conf il suo file di configurazione.
| bgcolor="white" | {{{2}}}
mettiamo questi 2 file in <tt>/root</tt> e prepariamoci per modificare il file di conf per esempio:
|-
 
| <acronym title="Il modulo da caricare">Modulo</acronym>  
<pre>
| bgcolor="white" | {{{3}}}
# esempio di file di conf
|}
database:=./afick
</div>
warn_dead_symlinks := yes
exclude_suffix := wav WAV mp3 avi
=/ d+i+p+u+g
=/bin p+n+b+m+c+md5
=/sbin p+n+b+m+c+md5
=/usr/sbin p+n+b+m+c+md5
=/usr/bin p+n+b+m+c+md5
</pre>
 
dopo aver controllato che la prima riga di afick.pl contenga la locazione precisa dell eseguibile Perl, possiamo passare a inizializzare il database dei nostri binari,
digitiamo da console quanto segue:
 
<pre>
# ./afick.pl -c afick.conf -i
</pre>
 
bene cosi' abbiamo creato il nostro database di sistema, ora facciamo passare un po di tempo e poi controlliamo come va'
 
<pre>
# ./afick.pl -c afick.conf -k
</pre>
 
se non abbiamo modificato nessun binari inserito nel file di configurazione dovrebbe apparirci in risposta dal programma:
 
<pre>
Hash Database : numero file scanned 0 changed ecc
</pre>
 
bene ora proviamo a modificare qualche file, banalmente:
 
<pre>
# touch /sbin/lilo
# ln-s /sbin/sulogin /usr/sbin/sulogin
</pre>
 
ora rieseguiamo il controllo come prima, questa volta in risposta avremmo:
 
<pre>
new symbolic link : /usr/sbin/sulogin
changed file : /sbin/lilo
changed directory :/usr/sbin
</pre>
 
seguito dai dettagli delle varie operazioni compiute.
 
Dal momento che sappiamo che queste modifiche le abbiamo fatte noi
ora dobbiamo riaggiornare il database:
 
<pre>
# ./afick.pl -c afick.conf -u
</pre>
 
ora sappiamo usare il nostro Monitor di sistema.
 
Un consiglio che mi sento di darvi e di aggiungere un controllo al db tramite cron in base all uso della macchina ogni giorno ogni 2 ore vedete voi.
 
==Non � finita qui==
Credete che questo basti, invece no' pensate un momento se un hacker riuscisse a penetrare il vostro sistema, anche se il nostro db fosse conservato in una partizione apposita read-only, se l'hacker riuscisse a guadagnare la root potrebbe rimontare la partizione in r/w e compromettere il nostro db, quindi come fare diciamo che sara' la base per un prossimo articolo e si chiama RFC e GRSEC
 
 
==Link==
 
* http://www.afick.sourceforge.net
* http://www.cs.tut.fi/~rammer/aide.html
 
Un consiglio scaricate pure chkrootkit e aggiungetelo al cron insieme al tool per il controllo da voi scelto.
 
* http://www.chkrootkit.org
 
----
Autore: debian
[[Categoria:Sicurezza]]
[[Categoria:Networking]]
MaXeR
1 487

contributi

Estratto da "https://guide.debianizzati.org/index.php/Speciale:DiffMobile/7600"

Menu di navigazione