Re: Riguardo rkhunter
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Davide Prina wrote:
> riporto la mail in lista, poiché io non sono un esperto e magari
> altri possono darti indicazioni più dettagliate
lol!
grazie mille cmq per la risposta che ora commento ;-)
>> ora invece rkhunter mi ha rovinato abbastanza la giornata e mi ha
>> fatto capire che ho un livello di sicurezza di m***a :-( ecco la
>> parte cruciale del log: [10:57:24] Info: Found 33 files in /bin
>> [10:57:25] Info: Found 63 files in /usr/bin [10:57:26] Info:
>> Found 14 files in /sbin [10:57:26] Info: Found 15 files in
>> /usr/sbin
>
> rkhunter riporta due livelli di segnalazioni:
>
> * warning: sono segnalazioni di possibili problemi, però la maggior
> parte delle volte sono modifiche volute dall'utente (es: aggiunta
> di un nuovo gruppo o un utente ad un gruppo o aggiornamento di un
> pacchetto dall'ultima volta che è stato fatto girare il programma)
>
> * found/infected (in rosso): sono segnalazioni di problemi reali e
> quindi compromissione di parte o tutto il sistema
l'ho notato solo ora con una piccola ma sostanziale differenze:
il log riportato sopra equivale al comando # rkhunter
ora invece, dopo aver googlato un po' e di conseguenza letto, sono
finito qua:
http://wiki.linuxquestions.org/wiki/Rootkit_Hunter#YOUR_FIRST_SCAN
essendo la sezione YOUR FIRST SCAN ho eseguito nuovamente il comando
ma questa volta in questo modo:
# rkhunter -c -sk
e finalmente ho visto i due colori che prima non si erano presentati :-P
riporto di seguito il log integrale ;-)
berserker:/home/shin# rkhunter -c -sk
[ Rootkit Hunter version 1.3.0 ]
...cut...
/bin/ip [ Warning ]
/sbin/ip [ Warning ]
*qindi l'applicazione ip e' infetta?*
Performing trojan specific checks
Checking for enabled inetd services [ Warning ]
*wow*
Checking the local host...
Performing system boot checks
Checking for local host name [ Found ]
Checking for local startup files [ Found ]
*
credo che il prob relativo host name sia derivato da casini fatti da
me :P*
Performing group and account checks
Checking for passwd file changes [ Warning ]
Checking for group file changes [ Warning ]
*prima di lanciare nuovamente rkhunter ho installato clamAV che ha
scritto sia su pswd e group*
Performing system configuration file checks
Checking for SSH configuration file [ Found ]
Checking if SSH root access is allowed [ Warning ]
Checking if SSH protocol v1 is allowed [ Warning ]
Checking for running syslog daemon [ Found ]
Checking for syslog configuration file [ Found ]
Checking if syslog remote logging is allowed [ Not
allowed ]
*e menomale che ho ssh disattivato XD*
Performing filesystem checks
Checking /dev for suspicious file types [ None
found ]
Checking for hidden files and directories [ Warning ]
System checks summary
=====================
File properties checks...
Files checked: 127
Suspect files: 2
Rootkit checks...
Rootkits checked : 110
Possible rootkits: 0
Applications checks...
Applications checked: 6
Suspect applications: 0
The system checks took: 1 minute and 29 seconds
All results have been written to the logfile (/var/log/rkhunter.log)
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
berserker:/home/shin#
ho tagliato tutto il "non interessante" e lasciato il resto ;-)
> se il tuo sistema è stato compromesso e sono riusciti ad installare
> programmi come root
ok, domanda banale: in base ai log postati si capisce se siano stati
installati come root?
> allora l'unica cosa da fare, secondo me, è quella di rifarlo
> totalmente.
dopo un fusto di 5l di birra al frummento :-P
> Anche se sostituisci tutti i pacchetti individuati dai vari tools
> come compromessi, non puoi avere la certezza al 100% che non sia
> stata inserita una backdoor o fatto qualcos'altro che permetta in
> breve all'attaccante di rientrare in possesso della tua macchina
> facilmente.
certo, questo e' piu' che logico ;-)
> Come ti è stato segnalato devi sempre fare gli aggiornamenti di
> sicurezza, se è un server io ti consiglio di farli giornalmente.
ehm...uhm...preciso che questo punto non e' stato detto a me ma bensi'
a jose che ha aperto il thread!
io mi sono inserito solamente dopo il tuo suggerimento che gli hai
dato :-S
> Debian ti permette di fare questo in modo così semplice e
> automatico.
conosco i seguenti modi debian, mi hanno gia' salvat el seder una
volta 8-)
non commento comunque i punti da te elencati, mi limito a dire che nel
MIO caso non si tratta di un server, non ho rep
pubblici...teoricamente non ho nulla di aperto al pubblico, forse
l'unica pecca del mio sys potrebbe essere apache perche' mi serve
deposito come "server" online di skin ma accessibile solo a me e da
locale...quindi prima dovrebbero scoprirmi l'ip e poi vedere se
riescono ad aprirmi apache...credo...altrimenti vi autorizzo alle
mazzate :-P
> Quindi se hai un collegamento veloce nel giro di mezzora/un'ora
> (non contando backup e restore dei dati) ti ritrovi il sistema
> reinstallato come prima.
questo IMHO e' il punto piu' balordo di tutti -.-"
ho pensato piu' volte di piallare tutto e ripartire da capo sopratutto
da quando la Etch era passata stabile, il mio sys e' stato installato
tramite sarge (2dvd grazie alla edicola...motivo spiegato dopo) dove
dopo un po' sono passato alla testing che infatti seguo tutt'ora!
il prob mio e' che vivo nel bel mezzo del digital-divide e mi
amputerei ben volentieri spesso qualche dito quando mi becco
aggiornamenti di anche SOLO 200mb da scaricare col mio fantastico
modem a crick aka 56k -.-
con questo non voglio dire che non lo farei, sopratutto ripensando al
recente dist-upgrade da 710mb XD, ma valuterei cmq abbastanza bene
prima di fare questo passo!
e' anche per questo che ho postato il secondo log lasciando anche il
primo!
se mi posso salvare sarei felice...altrimenti lubrifico la manovella e
la faccio girare a piu' non posso :-P
> Poi devi aggiustare le configurazione e fare il restore dei dati.
questo non e' assolutissimamente un problema ;-) dubito di metterci
motlto sopratutto vedendo quanto scritto prima ;-)
Ave, buona serata a tutti e grazie Davide per la risposta!
- --
Don't Trust if you don't want!
Don't Bealive if you don't Touch!
--> Powered by Debian Testing <--
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFHf9RiNzyKI2pL1/cRAltfAKDcuE0NdJPzU2KifSxFcbHBhTh9iACfUjbO
WMyFMwQ/++e/fIoM1hYc2n8=
=51Mi
-----END PGP SIGNATURE-----
Reply to: