Computer violato? Scopritelo con chkrootkit e rkhunter



Il controllo di un sistema, al fine di verificarne la robustezza e l’ inviolabilità è spesso un’ operazione lunga e tediosa, per amministrare una macchina bisogna sempre essere costantemente aggiornati su bug, falle di sicurezza e quant’ altro, chi lo fa per lavoro è sicuramente avvantaggiato, ma noi utenti casalinghi che utilizziamo GNU/Linux?

Ecco alcuni consigli, validi per cercare di contollare al meglio ogni sistema:

  • Controllo sistematico dei log, facendo bene attenzione ai log di web-server tipo Apache , oppure FTP server, sempre che li abbiate;
  • Controllare, se ne avete i permessi il file .bash_hystory dell’ utente root, alla ricerca di eventuali comandi non digitati da noi;
  • Controllare il carico di sistema, per verificare l’ esistenza di programmi anomali in esecuzione;
  • Controllare quali porte aperte esistono nel sistema, il tool nmap è un must in questo senso;

Tutti questi controlli sono manuali, ma esistono 2 programmi, veramente ottimi che ci permettono di controllare il sistema in modo automatico, essi sono: Chkrootkit e Rkhunter sono senza dubbio i piu noti e supportati.

I due programmi sopra citati controllano il sistema, e se trovano qualche anomalia fanno subito risaltare la cosa.

L’ installazione è molto semplice se usate i tool predefiniti della vostra distro, ad esempio per Debian e derivate il comando da dare è molto semplice, anteponete sudo se usate Ubuntu:

# apt-get install chkrootkit rkhunter

mentre se volete utilizzare i sorgenti i comandi saranno i canonici:

# ./configure
# make
# make install (da root)

L’ uso è basilare per entrambi, per chkrootkit, basterà loggarsi come root, oppure usare sudo e digitare semplicemente:

# chkrootkit

quindi occorre aspettare l’ output del programma, per rkhunter bisogna prima aggiornarne il database con:

# rkhunter –update

e poi procedere alla scansione:

# rkhunter -c [–createlogfile <file>][–skip-keypress]

Con l’opzione –createlogfile, dovremo fornire il nome di un file di log, altrimentio il programma userà il file di default: /var/log/rkhunter.log. mentre l’opzione –skip-keypress servirà ad evitare di premere invio, alla fine di ogni test.

Ecco tutto, con questi due programmi dormirete sonni più tranquilli.

Annunci sponsorizzati:
Condividi su Facebook Condividi su Twitter!
  • Pingback: cronaca24.org()

  • Pingback: pligg.it()

Pinterest