Re: chkrootkit, lkm e falsi positivi
Il giorno lun, 29-11-2004 alle 23:57 +0100, Michelasso ha scritto:
> Ciao a tutti,
> mi sono letto il mini howto a
> http://www.wiggy.net/debian/developer-securing/
> ma non mi è chiaro ancora come riconoscere i falsi positivi.
> In sostanza io do un 'chkrootkit -x lkm' e mi compare una lista di ben
> 80 processi 'hidden for ps command', di cui xx è il pid più basso e yy
> quello più alto.
Premessa: chkrootkit, oltre a subire gli effetti di un baco
psutils/kernel, aveva anche una race condition (che non penso sia stata
corretta) che porta alla segnalazione di diversi falsi positivi
soprattutto in caso di elevato carico del sistema esaminato.
> A questo punto controllo con 'cat /proc/[xx-yy]/status |grep Name' il
> nome dei processi, ma in che modo dall'output di tale comando dovrei
> capire se il sistema è compromesso o meno?
Praticamente devi giudicare se i processi che risultano nascosti siano o
meno sospetti. Basati sull'esperienza e la conoscenza del sistema in
esame.
> (nel mio caso specifico xx=4523 yy=32450 e
> 'cat /proc/[4523-32450]/status |grep Name' da come output:
> Name: ksoftirqd/0
> Name: events/0
> Name: khelper
> Name: kacpid
> )
Questi _sembrano_ dovuti al baco delle psutils (che non vuol dire lo
siano realmente). Ad ogni modo non basarti su (solo su) chrootkit, ma
affiancalo a tool come aide/tripwire/integrit/samhaim/ecc. per testare
l'integita' di un sistema.
Ciao,
Gian Piero.
Reply to: