giu
04

Rootkit o non rootkit, questo è il problema…

 

Di cosa stiamo parlando? Alcuni di voi sicuramente sapranno che cosa sono i rootkit, per quelli che non lo sanno i rootkit sono delle “collezioni” di software utilizzate per amministrare una macchina linux senza possedere i privilegi di amministratore.

Solitamente vengono utilizzate dagli intrusi di un sistema, ad esempio un utente malevolo che riesce a sfruttare la vulnerabilità di un utente non privilegiato, potrebbe utilizzare un rootkit per procedere poi a una privilege per diventare amministratore della macchina.

Per difendersi da questo tipo di utilizzi, la cosa migliore è cercare di tenere sempre aggiornato il sistema, soprattutto se si tratta di server online con accesso pubblico, quello di cui voglio occuparmi ora, non è tanto questo aspetto, ma è quello di controllare se la nostra macchina è stata “infettata” da un rootkit o meno.

A questo scopo ho iniziato ad utilizzare il programma rkhunter, che serve a controllare tramite degli hash, se i nostri file di sistema importanti sono stati in qualche modo modificati.

L’installazione in ubuntu si fa un semplice

apt-get install rkhunter

o

install rkhunter

Una volta installato il programma, procediamo con l’ delle definizioni con il comando

rkhunter --update

ottenendo come output una cosa simile a:

[ Rootkit Hunter version 1.3.0 ]

Checking rkhunter data files...
Checking file mirrors.dat                                  [ No update ]
Checking file programs_bad.dat                             [ No update ]
Checking file backdoorports.dat                            [ No update ]
Checking file suspscan.dat                                 [ No update ]
Checking file i18n/cn                                      [ No update ]
Checking file i18n/en                                      [ No update ]
Checking file i18n/zh                                      [ No update ]
Checking file i18n/zhutf                                   [ No update ]

Ora facciamo partire la nostra prima scannata con il comando

rkhunter -c

questo metodo di scan ha una modalità interattiva, ad ogni particolare tipologia di scan dovrete premere enter, alla fine otterrete una tabella riassuntiva come quella seguente

System checks summary
=====================

File properties checks...
Files checked: 127
Suspect files: 0

Rootkit checks...
Rootkits checked : 110
Possible rootkits: 0

Applications checks...
Applications checked: 6
Suspect applications: 0

The system checks took: 3 minutes and 44 seconds

All results have been written to the logfile (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

Per ottenere uno scan non intereattivo aggiungete l’opzione -sk alla fine

rkhunter -c -sk

Fra i vari report rkhunter vi segnalerà che avete abilitato l’accesso root via ssh, che di norma non è il massimo della siscurezza e vi darà un segnale di errore tipo questo

Checking for allowed root login... Watch out Root login possible. Possible risk!
info: "PermitRootLogin yes" found in file /etc/ssh/sshd_config
Hint: See logfile for more information about this issue

Se sapete cosa state facendo, per eliminarlo basta editare /etc/rkhunter.conf

e cambiate la riga da ALLOW_SSH_ROOT_USER=no a ALLOW_SSH_ROOT_USER=yes

Una volta che avete lanciato il primo scan e tutto è corretto e non vi sono state segnalazioni strane, lanciate il comando

rkhunter –propupd

Questo comando, aggiorna le tabelle hash dei vostri file, di modo che se vengono modificati in qualche modo verrete notificati al riguardo. Quando farete degli update che aggiornano i file interessato da rkhunter, noterete che vi verrà notificato il fatto che tali file sono cambiati. Solitamente quando fate gli aggiornamenti, se tutto è corretto, dovreste eseguire questo comando dopo l’, di modo che le tabelle hash per i check verranno aggiornate con i nuovi eseguibili e non riceverete (giustamente), notifiche al riguardo.

Saluti

Popularity: 1% [?]



Puoi visualizzare il post originale qui.

feb
10

Pulire la cache dei path della shell

 

Problema: eseguendo un comando da shell ricevete un misterioso errore.


$ foo
-bash: /usr/local/bin/foo: No such file or directory
$

E voi lo sapete bene che il comando foo non si trova in /usr/local/bin: comeconvincere anche il vostro sistema di cio ?

E  sufficiente lanciare il comando:
hash -r
Questo se utilizzate la shell bash. Un metodo piu generale, valido anche perle altre shell, e il comando seguente:
PATH=$PATH

In entrambi i casi viene ripulita la cache che consente alla shell di velocizzare la ricerca dei comandi piu usati all interno del PATH di sistema.

Popularity: 1% [?]



Puoi visualizzare il post originale qui.

apr
03

Creiamo un server DNS con Bind [Parte 4° - named.conf il file di configurazione di BIND]

 

Popularity: 5% [?]



Puoi visualizzare il post originale qui.

mar
11

Senza APT Virus a Go-go, anche su Windows Mobile!

 

Popularity: 6% [?]



Puoi visualizzare il post originale qui.

top