Re: Riguardo rkhunter
Shin Ice wrote:
chiedo scusa per il disturbo in privato :-(
riporto la mail in lista, poiché io non sono un esperto e magari altri
possono darti indicazioni più dettagliate
Davide Prina wrote:
* fai girare anche rkhunter
ora invece rkhunter mi ha rovinato abbastanza la giornata e mi ha
fatto capire che ho un livello di sicurezza di m***a :-(
ecco la parte cruciale del log:
[10:57:24] Info: Found 33 files in /bin
[10:57:25] Info: Found 63 files in /usr/bin
[10:57:26] Info: Found 14 files in /sbin
[10:57:26] Info: Found 15 files in /usr/sbin
rkhunter riporta due livelli di segnalazioni:
* warning: sono segnalazioni di possibili problemi, però la maggior
parte delle volte sono modifiche volute dall'utente (es: aggiunta di un
nuovo gruppo o un utente ad un gruppo o aggiornamento di un pacchetto
dall'ultima volta che è stato fatto girare il programma)
* found/infected (in rosso): sono segnalazioni di problemi reali e
quindi compromissione di parte o tutto il sistema
sinceramente non so che fare ora e vorrei chiederle gentilmente
qualche suggerimento!
se il tuo sistema è stato compromesso e sono riusciti ad installare
programmi come root, allora l'unica cosa da fare, secondo me, è quella
di rifarlo totalmente. Anche se sostituisci tutti i pacchetti
individuati dai vari tools come compromessi, non puoi avere la certezza
al 100% che non sia stata inserita una backdoor o fatto qualcos'altro
che permetta in breve all'attaccante di rientrare in possesso della tua
macchina facilmente.
Come ti è stato segnalato devi sempre fare gli aggiornamenti di
sicurezza, se è un server io ti consiglio di farli giornalmente. Debian
ti permette di fare questo in modo così semplice e automatico.
Secondo me quello che devi fare è:
* scollegare il PC dalla rete (sai cosa sta facendo? sta buttando in
giro spam? è usato come repository? è usato per fare attacchi ad altri
pc? ...)
* individuare tutti i dati che ti devi salvare (fai un backup se già non
lo hai fatto)
* fare un backup dei pacchetti installati (questo per velocizzare
l'installazione); il comando è:
$ dpkg --get-selections > selections.txt
e ti salvi il file selections.txt da qualche parte
* se sul disco c'è spazio ti conviene crearti una nuova partizione e
installare il nuovo sistema li (così hai ancora la vecchia root
disponibile nel caso ti manca qualche configurazione o file di qualche
utente)
* installi il nuovo sistema con una netinst installando le cose minime
per farlo partire
* esegui il comando per installarti tutti i pacchetti che avevi prima:
# dpkg --set-selections < selections.txt
Il file selections.txt è quello che ti eri salvato con il comando
precedente
in questo modo tutti i pacchetti che avevi prima vengono marcati come
da installare e al primo comando di aggiornamento del sistema vengono
installati
* mettere in cron l'upgrade per tutti gli aggiornamenti di sicurezza
* tenere monitorato il server per vedere se viene attaccato di nuovo e
di nuovo compromesso
Quindi se hai un collegamento veloce nel giro di mezzora/un'ora (non
contando backup e restore dei dati) ti ritrovi il sistema reinstallato
come prima. Poi devi aggiustare le configurazione e fare il restore dei
dati.
Ciao
Davide
--
Dizionari: http://linguistico.sourceforge.net/wiki
Browser: http://www.mozilla.org/products/firefox
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook
Reply to: