Re: Warning e controlli di sicurezza
On 31/12/2014 15:30, Portobello wrote:
Ho eseguito i seguenti comandi di rkhunter
rkhunter --versioncheck
questo ti controlla la versione installata con quella attualmente
disponibile
rkhunter --update
questo aggiorna i file di localizzazioni e dei dati relativi a rootkit & C.
rkhunter --propupd
questo dice a rkhunter di considerare da ora attendibili gli attuali
file installati.
Se vuoi usare rkhunter per fare controlli del tuo sistema, allora
dovresti eseguirlo ad ogni aggiornamento del sistema, in modo che ti
segnali i file che sono stati modificati e dopo aver verificato che sono
solo quelli appena aggiornati, allora dai questo comando.
Eseguire questo comando, senza prima neanche aver verificato quali file
siano stati modificati non ha molto senso, se non nascondere tutte le
modifiche fatte dall'ultima esecuzione... però così nascondi anche le
possibili modifiche di file apportate da un attaccante...
Poi c'è da dire un'altra cosa. Se l'attaccante è un essere umano (non è
un attacco automatico), allora quasi di sicuro cercherà di nascondere le
sue tracce... se è entrato in possesso del tuo PC, allora non ha tanto
senso eseguire dei controlli usando gli eseguibili presenti sullo stesso
PC che stai controllando. Dovresti usare un altro PC pulito o caricare
il sistema da un CD
rkhunter -c --enable all --disable none
rkhunter -c --enable all --disable none --rwo > warning_rkhunter.txt
bisogna tenere conto che rkhunter trova anche dei falsi positivi...
quindi bisogna indagare
Questi sono i warning principali :
Warning: The command '/usr/bin/unhide.rb' has been replaced by a script:
/usr/bin/unhide.rb: Ruby script, ASCII text
http://sourceforge.net/p/rkhunter/bugs/95/
Warning: The following processes are using deleted files:
Process: /usr/bin/pcmanfm PID: 5263 File:
/home/nuovo/.local/share/gvfs-metadata/home
Process: /usr/bin/lxterminal PID: 7648 File: /tmp/vteS7LORX
questo potrebbe essere normale
Warning: Process '/sbin/dhclient' (PID 2469) is listening on the network.
se usi il dhclient è normale... altrimenti no ;-)
Warning: Process '/usr/sbin/snort' (PID 4666) is listening on the network.
anche qui se hai installato snort e lo stai usando è normale, altrimenti
preoccupati ;-)
https://it.wikipedia.org/wiki/Snort
Warning: Hidden directory found: /etc/.java
Warning: Hidden file found: /etc/.fstab: ASCII text
questi dovrebbero essere falsi positivi... puoi controllare l'interno
delle directory
Poi ho eseguito chkrootkit
il comando chkrootkit > warning_chkrootkit.txt
Searching for anomalies in shell history files... Warning:
`//root/.bashburn_history' file size is zero
questo può essere strano... se come root usi bash, altrimenti può essere
normale che abbia dimensione zero.
se hai una riga come la seguente, allora qualcuno o qualcosa ti ha
azzerato l'history
$ grep root /etc/passwd
root:x:0:0:root:/root:/bin/bash
In ogni caso, come dicevo sopra, se qualcuno riesce a bucarti il PC e a
fare qualcosa di malevolo, allora cercherà anche di nascondere le
tracce, ad esempio cancellando l'history dei comandi che ha eseguito
Poi ho eseguito il comando :
cruft > report_cruft.txt
Il report e' di 2,3 MB , e non so bene quali messaggi cercare.
qui è un po' più complesso, dovresti guardati riga per riga per capire
se c'è qualcosa di strano. Però vale sempre il discorso che ho fatto
sopra...
Ci sono altri comandi che si possono utilizzare ?
dipende dal livello di sicurezza che tu ritieni accettabile.
Devi prima di tutto renderti conto che non esiste un sistema che sia
sicuro al 100% quando è in esecuzione, quello che puoi fare è cercare di
capire cosa reputi che sia il livello di sicurezza che vuoi raggiungere.
L'argomento è molto complesso e solo chi lavora a tempo a pieno nel
settore e si occupa di questi argomenti anche nel suo tempo libero può
avere un'idea dei rischi che ci sono ad usare un PC. Gli altri, come me,
possono darti solo dei consigli, che magari sono anche incompleti, se
non addirittura sbagliati.
Il cercare di identificare se c'è stato un attacco è ben più complesso,
difficile e oneroso che cercare di prevenirlo.
Se vuoi essere paranoico puoi arrivare a criptare tutto, compresa RAM e
swap, ma così hai un sistema che diventa lento ed inoltre sembra che
anche tale tipo di sistema non è sicuro al 100% quando è in esecuzione,
perché c'è un momento in cui le informazioni passano in chiaro nella CPU...
Quello che posso dirti io, tenuto conto di quanto scritto sopra, è di:
1) scegliere di chi fidarti ad esempio: di Debian e dei DD, presuppongo,
e quindi di tutti i pacchetti che rilasciano i DD
2) tenere il tuo sistema costantemente aggiornato
3) non installare cose provenienti dall'esterno dei repository ufficiali
di Debian... a meno che non consideri fonti affidabili pure queste
4) non installare servizi che non ti servono che restano in ascolto su
una o più porte, se lo devi fare puoi magari cercare di non usare le
porte standard per quel servizio o altri tipi di sistemi che aprano la
porta solo quando è richiesto... o magari installare un firewall per
bloccare le possibili connessioni da PC/reti che non devono
connettersi... o magari usare un router o un apparato che sta davanti
alla tua rete interna, in modo da non esporre i servizi del tuo PC
direttamente sulla rete.
Poi puoi iniziare a leggere articoli a riguardo per capire meglio di
cosa si tratta.
Ciao
Davide
--
Dizionari: http://linguistico.sourceforge.net/wiki
Petizione contro i brevetti software in Europa:
http://petition.stopsoftwarepatents.eu/
Non autorizzo la memorizzazione del mio indirizzo su outlook
Reply to: