Re: chkrootkit, lkm e falsi positivi

To: ML Debian italia <debian-italian@lists.debian.org>
Subject: Re: chkrootkit, lkm e falsi positivi
From: Gian Piero Carrubba <gp-ml@rm-rf.it>
Date: Fri, 03 Dec 2004 17:22:24 +0100
Message-id: <[🔎] 1102090945.19518.37.camel@king.fdc.rm-rf.it>
In-reply-to: <1101769071.32492.1.camel@tron>
References: <1101769071.32492.1.camel@tron>

Il giorno lun, 29-11-2004 alle 23:57 +0100, Michelasso ha scritto:
> Ciao a tutti,
> mi sono letto il mini howto a
> http://www.wiggy.net/debian/developer-securing/
> ma non mi è chiaro ancora come riconoscere i falsi positivi.
> In sostanza io do un 'chkrootkit -x lkm' e mi compare una lista di ben
> 80 processi 'hidden for ps command', di cui xx è il pid più basso e yy
> quello più alto.

Premessa: chkrootkit, oltre a subire gli effetti di un baco
psutils/kernel, aveva anche una race condition (che non penso sia stata
corretta) che porta alla segnalazione di diversi falsi positivi
soprattutto in caso di elevato carico del sistema esaminato.

> A questo punto controllo con 'cat /proc/[xx-yy]/status |grep Name' il
> nome dei processi, ma in che modo dall'output di tale comando dovrei
> capire se il sistema è compromesso o meno?

Praticamente devi giudicare se i processi che risultano nascosti siano o
meno sospetti. Basati sull'esperienza e la conoscenza del sistema in
esame.

> (nel mio caso specifico xx=4523 yy=32450 e
> 'cat /proc/[4523-32450]/status |grep Name' da come output:
> Name:   ksoftirqd/0
> Name:   events/0
> Name:   khelper
> Name:   kacpid
> )

Questi _sembrano_ dovuti al baco delle psutils (che non vuol dire lo
siano realmente). Ad ogni modo non basarti su (solo su) chrootkit, ma
affiancalo a tool come aide/tripwire/integrit/samhaim/ecc. per testare
l'integita' di un sistema.

Ciao,
Gian Piero.

Reply to:

Prev by Date: FW: GLcore con XFree86
Next by Date: Re: [sarge] xfce e gdesklets
Previous by thread: FW: GLcore con XFree86
Next by thread: ghost
Index(es):
- Date
- Thread