[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Riguardo rkhunter

Shin Ice wrote:


chiedo scusa per il disturbo in privato :-(
riporto la mail in lista, poiché io non sono un esperto e magari altri possono darti indicazioni più dettagliate 


Davide Prina wrote:

* fai girare anche rkhunter



ora invece rkhunter mi ha rovinato abbastanza la giornata e mi ha
fatto capire che ho un livello di sicurezza di m***a :-(
ecco la parte cruciale del log:
[10:57:24] Info: Found 33 files in /bin
[10:57:25] Info: Found 63 files in /usr/bin
[10:57:26] Info: Found 14 files in /sbin
[10:57:26] Info: Found 15 files in /usr/sbin


rkhunter riporta due livelli di segnalazioni:
* warning: sono segnalazioni di possibili problemi, però la maggior parte delle volte sono modifiche volute dall'utente (es: aggiunta di un nuovo gruppo o un utente ad un gruppo o aggiornamento di un pacchetto dall'ultima volta che è stato fatto girare il programma)
* found/infected (in rosso): sono segnalazioni di problemi reali e quindi compromissione di parte o tutto il sistema 


sinceramente non so che fare ora e vorrei chiederle gentilmente
qualche suggerimento!
se il tuo sistema è stato compromesso e sono riusciti ad installare programmi come root, allora l'unica cosa da fare, secondo me, è quella di rifarlo totalmente. Anche se sostituisci tutti i pacchetti individuati dai vari tools come compromessi, non puoi avere la certezza al 100% che non sia stata inserita una backdoor o fatto qualcos'altro che permetta in breve all'attaccante di rientrare in possesso della tua macchina facilmente.
Come ti è stato segnalato devi sempre fare gli aggiornamenti di sicurezza, se è un server io ti consiglio di farli giornalmente. Debian ti permette di fare questo in modo così semplice e automatico. 

Secondo me quello che devi fare è:
* scollegare il PC dalla rete (sai cosa sta facendo? sta buttando in giro spam? è usato come repository? è usato per fare attacchi ad altri pc? ...) * individuare tutti i dati che ti devi salvare (fai un backup se già non lo hai fatto) * fare un backup dei pacchetti installati (questo per velocizzare l'installazione); il comando è: 
  $ dpkg --get-selections > selections.txt
  e ti salvi il file selections.txt da qualche parte
* se sul disco c'è spazio ti conviene crearti una nuova partizione e installare il nuovo sistema li (così hai ancora la vecchia root disponibile nel caso ti manca qualche configurazione o file di qualche utente) * installi il nuovo sistema con una netinst installando le cose minime per farlo partire 
* esegui il comando per installarti tutti i pacchetti che avevi prima:
  # dpkg --set-selections < selections.txt
Il file selections.txt è quello che ti eri salvato con il comando precedente in questo modo tutti i pacchetti che avevi prima vengono marcati come da installare e al primo comando di aggiornamento del sistema vengono installati 
* mettere in cron l'upgrade per tutti gli aggiornamenti di sicurezza
* tenere monitorato il server per vedere se viene attaccato di nuovo e di nuovo compromesso
Quindi se hai un collegamento veloce nel giro di mezzora/un'ora (non contando backup e restore dei dati) ti ritrovi il sistema reinstallato come prima. Poi devi aggiustare le configurazione e fare il restore dei dati. 

Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Browser: http://www.mozilla.org/products/firefox
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook
Reply to: