[Tech] Blocco macchina improvviso

Simone Piccardi piccardi@firenze.linux.it
Gio 24 Giu 2004 23:41:40 CEST


peterpunk wrote:
> Francesco F scriveva:
> 
> 
>>Ho eseguito il controllo, nessuno file rilevato da chkrootkit.
>>
> 
> // Entra peterpunk in modalita` Paranoia
> Con questi tool,  a prescindere dal loro responso, vale  la regola di
> non scomporsi in caso di esito  positivo e di non andarsene a dormire
> in caso  di esito  negativo: un rootkit  puo` apparire  senza esserci
> davvero (il  fatto che appaia  e` una condizione non  sufficiente per
> dichiararne la  presenza), come  puo` esserci davvero  senza apparire
> (il fatto  che non appaia e`  una condizione non necessaria  alla sua
> reale presenza).
> 
> Ci  sono dei  rootkit troppo  nuovi  anche per  chkrootkit, e  quelli
> rilevabili  possono  essere  stati  sottoposti  a  "trattamento".  Io
> integrerei il lavoro  che hai gia` svolto (ma se  non entri nella mia
> modalita`  non  assicuro  che  funzioni)  cominciando  con  l'analisi
> dell'output dei comandi:
> 
> # last root
> # ls -la `find / -type f \( -perm -04000 -o -perm -02000 \)`
> (concentrato su IBMnetfinity, dopo  avere smontato ogni filesystem di
> rete, trova  tutti i files impostati  con il bit SUID/SGID:  pensa ai
> danni che puo` fare /bin/tar coi permessi settati su -rwsr-xr-x.
> 
> Dopo  questi  controlli preliminari  -  tanto  per "scaldarsi"  -  io
> andrei senz'altro a cercarmi AFICK - http://afick.sourceforge.net/ -,
> un  utile  strumento  GPL  scritto  in  Perl  (se  preferisci  il  C,
> http://AIDE.sourceforge.net/ fa per te)  che esegue operazioni quali:
> analisi  degli  hash dei  files  "sensibili"  (ad esempio  tutti  gli
> eseguibili in /bin  /sbin /usr/bin /usr/sbin) con  md5sum e  sha1sum,
> dimensioni,  permessi,  accesstime,  numero di  link  e  quant'altro;
> scrittura dei dati su db per  ogni successivo confronto (diff) tra lo
> stato "iniziale" e  quello "attuale" del sistema,  onde carpirne ogni
> eventuale variazione/alterazione.
> 
> $ switchto ModaliTavolaFredda
> 
> Tutto questo l'ho  letto su Linux&C in edicola (anno  6 numero 39)  e
> precedenti, io non sono sysadmin e ti auguro un buon lavoro!
> 
> peterpunk
Se hanno installato rootkit sofisticati (come adore o altri che operano 
a livello di kernel) i controlli sui file non servono (alla AFICK o 
AIDE) non servono, quelli nascondono tutto in maniera trasparente.

A parte fare i stessi controlli (in termini di eventuali file presenti) 
facendo partire la macchina con una distribuzione da CD sicura, l'unica 
altra alternativa e` verificare con una portscan se non hai porte aperte 
che netstat non rivela (e se usi nmap assicurati che esegua il portscan 
su tutte le porte).

Ciao
Simone



Maggiori informazioni sulla lista flug-tech