[Tech] Blocco macchina improvviso
Simone Piccardi
piccardi@firenze.linux.it
Gio 24 Giu 2004 23:41:40 CEST
peterpunk wrote:
> Francesco F scriveva:
>
>
>>Ho eseguito il controllo, nessuno file rilevato da chkrootkit.
>>
>
> // Entra peterpunk in modalita` Paranoia
> Con questi tool, a prescindere dal loro responso, vale la regola di
> non scomporsi in caso di esito positivo e di non andarsene a dormire
> in caso di esito negativo: un rootkit puo` apparire senza esserci
> davvero (il fatto che appaia e` una condizione non sufficiente per
> dichiararne la presenza), come puo` esserci davvero senza apparire
> (il fatto che non appaia e` una condizione non necessaria alla sua
> reale presenza).
>
> Ci sono dei rootkit troppo nuovi anche per chkrootkit, e quelli
> rilevabili possono essere stati sottoposti a "trattamento". Io
> integrerei il lavoro che hai gia` svolto (ma se non entri nella mia
> modalita` non assicuro che funzioni) cominciando con l'analisi
> dell'output dei comandi:
>
> # last root
> # ls -la `find / -type f \( -perm -04000 -o -perm -02000 \)`
> (concentrato su IBMnetfinity, dopo avere smontato ogni filesystem di
> rete, trova tutti i files impostati con il bit SUID/SGID: pensa ai
> danni che puo` fare /bin/tar coi permessi settati su -rwsr-xr-x.
>
> Dopo questi controlli preliminari - tanto per "scaldarsi" - io
> andrei senz'altro a cercarmi AFICK - http://afick.sourceforge.net/ -,
> un utile strumento GPL scritto in Perl (se preferisci il C,
> http://AIDE.sourceforge.net/ fa per te) che esegue operazioni quali:
> analisi degli hash dei files "sensibili" (ad esempio tutti gli
> eseguibili in /bin /sbin /usr/bin /usr/sbin) con md5sum e sha1sum,
> dimensioni, permessi, accesstime, numero di link e quant'altro;
> scrittura dei dati su db per ogni successivo confronto (diff) tra lo
> stato "iniziale" e quello "attuale" del sistema, onde carpirne ogni
> eventuale variazione/alterazione.
>
> $ switchto ModaliTavolaFredda
>
> Tutto questo l'ho letto su Linux&C in edicola (anno 6 numero 39) e
> precedenti, io non sono sysadmin e ti auguro un buon lavoro!
>
> peterpunk
Se hanno installato rootkit sofisticati (come adore o altri che operano
a livello di kernel) i controlli sui file non servono (alla AFICK o
AIDE) non servono, quelli nascondono tutto in maniera trasparente.
A parte fare i stessi controlli (in termini di eventuali file presenti)
facendo partire la macchina con una distribuzione da CD sicura, l'unica
altra alternativa e` verificare con una portscan se non hai porte aperte
che netstat non rivela (e se usi nmap assicurati che esegua il portscan
su tutte le porte).
Ciao
Simone
Maggiori informazioni sulla lista
flug-tech