[Tech] Blocco macchina improvviso
peterpunk
peterpunk@email.it
Ven 25 Giu 2004 00:40:05 CEST
Francesco F scriveva:
> Ho eseguito il controllo, nessuno file rilevato da chkrootkit.
>
// Entra peterpunk in modalita` Paranoia
Con questi tool, a prescindere dal loro responso, vale la regola di
non scomporsi in caso di esito positivo e di non andarsene a dormire
in caso di esito negativo: un rootkit puo` apparire senza esserci
davvero (il fatto che appaia e` una condizione non sufficiente per
dichiararne la presenza), come puo` esserci davvero senza apparire
(il fatto che non appaia e` una condizione non necessaria alla sua
reale presenza).
Ci sono dei rootkit troppo nuovi anche per chkrootkit, e quelli
rilevabili possono essere stati sottoposti a "trattamento". Io
integrerei il lavoro che hai gia` svolto (ma se non entri nella mia
modalita` non assicuro che funzioni) cominciando con l'analisi
dell'output dei comandi:
# last root
# ls -la `find / -type f \( -perm -04000 -o -perm -02000 \)`
(concentrato su IBMnetfinity, dopo avere smontato ogni filesystem di
rete, trova tutti i files impostati con il bit SUID/SGID: pensa ai
danni che puo` fare /bin/tar coi permessi settati su -rwsr-xr-x.
Dopo questi controlli preliminari - tanto per "scaldarsi" - io
andrei senz'altro a cercarmi AFICK - http://afick.sourceforge.net/ -,
un utile strumento GPL scritto in Perl (se preferisci il C,
http://AIDE.sourceforge.net/ fa per te) che esegue operazioni quali:
analisi degli hash dei files "sensibili" (ad esempio tutti gli
eseguibili in /bin /sbin /usr/bin /usr/sbin) con md5sum e sha1sum,
dimensioni, permessi, accesstime, numero di link e quant'altro;
scrittura dei dati su db per ogni successivo confronto (diff) tra lo
stato "iniziale" e quello "attuale" del sistema, onde carpirne ogni
eventuale variazione/alterazione.
$ switchto ModaliTavolaFredda
Tutto questo l'ho letto su Linux&C in edicola (anno 6 numero 39) e
precedenti, io non sono sysadmin e ti auguro un buon lavoro!
peterpunk
--
links -source www.artesottomarina.it/EE83DC26/pet.asc | gpg --import
Maggiori informazioni sulla lista
flug-tech