3 581
contributi
(primo inserimento) |
m (riformattazione) |
||
(16 versioni intermedie di 6 utenti non mostrate) | |||
Riga 1: | Riga 1: | ||
{{Versioni compatibili|Squeeze|Wheezy|Jessie}} | |||
== Introduzione == | |||
Come facciamo a scoprire se veniamo infettati da un RootKit? | |||
Con il checksum dei binari di sistema, in questa guida vedremo come fare. | |||
Partiamo dal presupposto che per poter mettere in atto quanto diremo da qui in poi abbiamo bisogno o di una macchina con sistema operativo appena installato o dobbiamo essere sicuri al 300% che la nostra macchina non sia compromessa. | |||
Partiamo con lo scaricarci uno di questi due software: AFICK AIDE (si veda fondo pagina per i link). | |||
== Configurazione == | |||
Il bello di questi programmi e che oltre che calcolare il checksum dei binari , possono controllare gli accessi, i permessi, il numero di link simbolici e tanto altro ancora, per questa guida io mi baserò su AFICK, a noi interessa il file <code>afick.pl</code> e <code>afick.conf</code> il suo file di configurazione.<br/> | |||
Mettiamo questi due file in <code>/root</code> e prepariamoci per modificare il file di configurazione, per esempio: | |||
<pre> | <pre> | ||
# esempio di file di | # esempio di file di configurazione | ||
database:=./afick | database:=./afick | ||
warn_dead_symlinks := yes | warn_dead_symlinks := yes | ||
Riga 20: | Riga 24: | ||
</pre> | </pre> | ||
dopo aver controllato che la prima riga di afick.pl contenga la locazione precisa dell eseguibile Perl , possiamo passare a inizializzare il database dei nostri binari, | dopo aver controllato che la prima riga di <code>afick.pl</code> contenga la locazione precisa dell'eseguibile Perl, possiamo passare a inizializzare il database dei nostri binari,digitiamo da console quanto segue: | ||
digitiamo da console quanto segue: | |||
<pre> | <pre> | ||
# ./afick.pl -c afick.conf -i | # ./afick.pl -c afick.conf -i | ||
</pre> | </pre> | ||
bene | bene, così abbiamo creato il nostro database di sistema. | ||
== Test di funzionamento == | |||
Ora facciamo passare un po' di tempo e poi controlliamo come va. | |||
<pre> | <pre> | ||
Riga 37: | Riga 42: | ||
<pre> | <pre> | ||
Hash Database : numero file scanned 0 changed ecc | Hash Database : numero file scanned 0 changed ecc | ||
<pre> | </pre> | ||
bene ora proviamo a modificare qualche file, banalmente: | bene ora proviamo a modificare qualche file, banalmente: | ||
Riga 56: | Riga 61: | ||
seguito dai dettagli delle varie operazioni compiute. | seguito dai dettagli delle varie operazioni compiute. | ||
Dal momento che sappiamo che queste modifiche le abbiamo fatte noi | Dal momento che sappiamo che queste modifiche le abbiamo fatte noi, ora dobbiamo riaggiornare il database: | ||
ora dobbiamo riaggiornare il database: | |||
<pre> | <pre> | ||
Riga 65: | Riga 69: | ||
ora sappiamo usare il nostro Monitor di sistema. | ora sappiamo usare il nostro Monitor di sistema. | ||
Un consiglio che mi sento di darvi è di aggiungere un controllo al db tramite [[Cron]], in base all'uso della macchina, ogni giorno o ogni 2 ore, vedete voi. | |||
==Non è finita qui== | ==Non è finita qui== | ||
Credete che questo basti, invece no | Credete che questo basti, invece no. Pensate un momento se un hacker riuscisse a penetrare il vostro sistema; anche se il nostro db fosse conservato in una partizione apposita read-only, se l'hacker riuscisse a guadagnare l'accesso come [[root]] potrebbe rimontare la partizione in r/w e compromettere il nostro db, quindi come fare diciamo che sarà la base per un prossimo articolo e si chiama RFC e GRSEC | ||
==Link== | ==Link== | ||
* http://afick.sourceforge.net | |||
* http://www.cs.tut.fi/~rammer/aide.html | |||
Un consiglio scaricate pure chkrootkit e utilizzatelo insieme a Cron e al tool per il controllo da voi scelto. | |||
* http://www.chkrootkit.org | |||
{{Autori | |||
|Autore = [[Utente:TheNoise|TheNoise]] | |||
}} | |||
[[Categoria:Monitoraggio]] | |||
contributi