[Tech] Blocco macchina improvviso

peterpunk peterpunk@email.it
Ven 25 Giu 2004 00:40:05 CEST 

Francesco F scriveva:

> Ho eseguito il controllo, nessuno file rilevato da chkrootkit.
>
// Entra peterpunk in modalita` Paranoia
Con questi tool,  a prescindere dal loro responso, vale  la regola di
non scomporsi in caso di esito  positivo e di non andarsene a dormire
in caso  di esito  negativo: un rootkit  puo` apparire  senza esserci
davvero (il  fatto che appaia  e` una condizione non  sufficiente per
dichiararne la  presenza), come  puo` esserci davvero  senza apparire
(il fatto  che non appaia e`  una condizione non necessaria  alla sua
reale presenza).

Ci  sono dei  rootkit troppo  nuovi  anche per  chkrootkit, e  quelli
rilevabili  possono  essere  stati  sottoposti  a  "trattamento".  Io
integrerei il lavoro  che hai gia` svolto (ma se  non entri nella mia
modalita`  non  assicuro  che  funzioni)  cominciando  con  l'analisi
dell'output dei comandi:

# last root
# ls -la `find / -type f \( -perm -04000 -o -perm -02000 \)`
(concentrato su IBMnetfinity, dopo  avere smontato ogni filesystem di
rete, trova  tutti i files impostati  con il bit SUID/SGID:  pensa ai
danni che puo` fare /bin/tar coi permessi settati su -rwsr-xr-x.

Dopo  questi  controlli preliminari  -  tanto  per "scaldarsi"  -  io
andrei senz'altro a cercarmi AFICK - http://afick.sourceforge.net/ -,
un  utile  strumento  GPL  scritto  in  Perl  (se  preferisci  il  C,
http://AIDE.sourceforge.net/ fa per te)  che esegue operazioni quali:
analisi  degli  hash dei  files  "sensibili"  (ad esempio  tutti  gli
eseguibili in /bin  /sbin /usr/bin /usr/sbin) con  md5sum e  sha1sum,
dimensioni,  permessi,  accesstime,  numero di  link  e  quant'altro;
scrittura dei dati su db per  ogni successivo confronto (diff) tra lo
stato "iniziale" e  quello "attuale" del sistema,  onde carpirne ogni
eventuale variazione/alterazione.

$ switchto ModaliTavolaFredda

Tutto questo l'ho  letto su Linux&C in edicola (anno  6 numero 39)  e
precedenti, io non sono sysadmin e ti auguro un buon lavoro!

peterpunk
--

links -source www.artesottomarina.it/EE83DC26/pet.asc | gpg --import

Maggiori informazioni sulla lista flug-tech