Monitoriamo il Sistema: differenze tra le versioni

m
nessun oggetto della modifica
(Aggiunto template autori)
mNessun oggetto della modifica
Riga 1: Riga 1:
{{Versioni compatibili}}
Come facciamo a scoprire se veniamo infettati da un RootKit?
Come facciamo a scoprire se veniamo infettati da un RootKit?
Con il checksum dei binari di sistema, in questa guida vedremo come fare.
Con il checksum dei binari di sistema, in questa guida vedremo come fare.


Partiamo dal presupposto che per poter mettere in atto quanto diremo da qui in poi abbiamo bisogno o di una macchina con os appena installato o dobbiamo essere sicuri al 300% che la nostra macchina non sia compromessa.
Partiamo dal presupposto che per poter mettere in atto quanto diremo da qui in poi abbiamo bisogno o di una macchina con sistema operativo appena installato o dobbiamo essere sicuri al 300% che la nostra macchina non sia compromessa.
 
Partiamo con lo scaricarci uno di questi 2 software AFICK AIDE (si veda fondo pagina per i link).


Il bello di questi programmi e che oltre che calcore il checksum dei binari , possono controllare gli accessi, i permessi, il numero di link simbolici e tanto altro ancora, per questa guida io mi basero' su AFICK, a noi interessa il file afick.pl e afick.conf il suo file di configurazione.
Partiamo con lo scaricarci uno di questi due software: AFICK AIDE (si veda fondo pagina per i link).
mettiamo questi 2 file in <tt>/root</tt> e prepariamoci per modificare il file di conf per esempio:


Il bello di questi programmi e che oltre che calcolare il checksum dei binari , possono controllare gli accessi, i permessi, il numero di link simbolici e tanto altro ancora, per questa guida io mi baserò su AFICK, a noi interessa il file <code>afick.pl</code> e <code>afick.conf</code> il suo file di configurazione.<br/>
Mettiamo questi due file in <code>/root</code> e prepariamoci per modificare il file di configurazione, per esempio:
<pre>
<pre>
# esempio di file di conf
# esempio di file di configurazione
database:=./afick
database:=./afick
warn_dead_symlinks := yes
warn_dead_symlinks := yes
Riga 22: Riga 22:
</pre>
</pre>


dopo aver controllato che la prima riga di afick.pl contenga la locazione precisa dell eseguibile Perl, possiamo passare a inizializzare il database dei nostri binari,
dopo aver controllato che la prima riga di <code>afick.pl</code> contenga la locazione precisa dell'eseguibile Perl, possiamo passare a inizializzare il database dei nostri binari,digitiamo da console quanto segue:
digitiamo da console quanto segue:
 
<pre>
<pre>
# ./afick.pl -c afick.conf -i
# ./afick.pl -c afick.conf -i
</pre>
</pre>


bene cosi' abbiamo creato il nostro database di sistema, ora facciamo passare un po di tempo e poi controlliamo come va'
bene, così abbiamo creato il nostro database di sistema, ora facciamo passare un po' di tempo e poi controlliamo come va.


<pre>
<pre>
Riga 58: Riga 56:
seguito dai dettagli delle varie operazioni compiute.
seguito dai dettagli delle varie operazioni compiute.


Dal momento che sappiamo che queste modifiche le abbiamo fatte noi
Dal momento che sappiamo che queste modifiche le abbiamo fatte noi, ora dobbiamo riaggiornare il database:
ora dobbiamo riaggiornare il database:


<pre>
<pre>
Riga 67: Riga 64:
ora sappiamo usare il nostro Monitor di sistema.
ora sappiamo usare il nostro Monitor di sistema.


Un consiglio che mi sento di darvi e di aggiungere un controllo al db tramite cron in base all uso della macchina ogni giorno ogni 2 ore vedete voi.
Un consiglio che mi sento di darvi è di aggiungere un controllo al db tramite [[Cron]], in base all'uso della macchina, ogni giorno o ogni 2 ore, vedete voi.


==Non è finita qui==
==Non è finita qui==
Credete che questo basti, invece no' pensate un momento se un hacker riuscisse a penetrare il vostro sistema, anche se il nostro db fosse conservato in una partizione apposita read-only, se l'hacker riuscisse a guadagnare la root potrebbe rimontare la partizione in r/w e compromettere il nostro db, quindi come fare diciamo che sara' la base per un prossimo articolo e si chiama RFC e GRSEC
Credete che questo basti, invece no. Pensate un momento se un hacker riuscisse a penetrare il vostro sistema; anche se il nostro db fosse conservato in una partizione apposita read-only, se l'hacker riuscisse a guadagnare l'accesso come [[root]] potrebbe rimontare la partizione in r/w e compromettere il nostro db, quindi come fare diciamo che sarà la base per un prossimo articolo e si chiama RFC e GRSEC




Riga 78: Riga 75:
* http://www.cs.tut.fi/~rammer/aide.html
* http://www.cs.tut.fi/~rammer/aide.html


Un consiglio scaricate pure chkrootkit e aggiungetelo al cron insieme al tool per il controllo da voi scelto.
Un consiglio scaricate pure chkrootkit e utilizzatelo insieme a Cron e al tool per il controllo da voi scelto.


* http://www.chkrootkit.org
* http://www.chkrootkit.org
6 999

contributi