Re: Riguardo rkhunter

[Davide Prina <davide.prina@gmail.com>]

Shin Ice wrote:

> Davide Prina wrote:

> berserker:/home/shin# rkhunter -c -sk
> [ Rootkit Hunter version 1.3.0 ]
>   ...cut...
>     /bin/ip                                                  [ Warning ]
>     /sbin/ip                                                 [ Warning ]
>
> *qindi l'applicazione ip e' infetta?*

no, come è detto i warning vanno interpretati.
Devi guardare nel log, come indicato alla fine dell'esecuzione di rkhunter.
rkhunter individua per esempio upgrade di eseguibili fatti dopo l'ultimo 
controllo e in alcuni casi ne indica alcuni che in realtà non hanno 
nessun problema.

Per essere sicuro individui il pacchetto e poi controlli con debsums.

>   Performing trojan specific checks
>     Checking for enabled inetd services                      [ Warning ]
>
> *wow*

devi anche leggere un po' il manuale, puoi indicare che alcune cose sono 
corrette e di non testarle, vedi /etc/rkhunter.conf

> Checking the local host...
>
>   Performing system boot checks
>     Checking for local host name                             [ Found ]
>     Checking for local startup files                         [ Found ]
> *
> credo che il prob relativo host name sia derivato da casini fatti da
> me :P*

ma found non vuol sempre dire che c'è un problema, vuol dire che ha 
trovato che una cosa esiste sul tuo PC ... può essere un rootkit o 
l'hostname (come nel caso qui sopra).

>   Performing group and account checks
>     Checking for passwd file changes                         [ Warning ]
>     Checking for group file changes                          [ Warning ]
>  
> *prima di lanciare nuovamente rkhunter ho installato clamAV che ha
> scritto sia su pswd e group*

infatti ti individua tutte le possibili modifiche fatte da un rootkit o 
"infiltrazione" esterna ... poi devi essere tu a valutarli: guardi i 
log, dove vedrai che c'è il nuovo utente clamav e quindi sai che non c'è 
nulla da preoccuparsi.

>     Checking if SSH root access is allowed                   [ Warning ]

ecco questa è una cosa da togliere, con ssh è meglio non lasciare 
l'accesso a root direttamente ... prima di colleghi come utente normale 
e poi fai su.
In questo modo se riescono ad entrarti come utente normale poi devono 
riuscire a diventare root, altrimenti il sistema è salvo (se l'utente 
non ha troppi permessi naturalmente).

> *e menomale che ho ssh disattivato XD*

vuoi dire che non parte di default?
Ma qui rkhunter controlla solo la configurazione nel file 
/etc/ssh/sshd_config

>     Checking for hidden files and directories                [ Warning ]

anche qui alcune directory nascoste potrebbero essere corrette ... 
guarda nel log

> One or more warnings have been found while checking the system.
> Please check the log file (/var/log/rkhunter.log)

ecco qui che ti dice espressamente di verificare nel log se i warning 
sono trascurabili o meno

> > se il tuo sistema è stato compromesso e sono riusciti ad installare
> >  programmi come root
>
> ok, domanda banale: in base ai log postati si capisce se siano stati
> installati come root?

nei risultati stampati a video non c'è molto, nei log trovi dettagli 
maggiori.

> > Come ti è stato segnalato devi sempre fare gli aggiornamenti di
> > sicurezza, se è un server io ti consiglio di farli giornalmente.
>
> ehm...uhm...preciso che questo punto non e' stato detto a me ma bensi'
> a jose che ha aperto il thread!

scusa, non me ne ero accorto ... ho confuso.
Comunque quello che avevo scritto era rivolto a Jose

> l'unica pecca del mio sys potrebbe essere apache perche' mi serve
> deposito come "server" online di skin ma accessibile solo a me e da
> locale...quindi prima dovrebbero scoprirmi l'ip e poi vedere se
> riescono ad aprirmi apache...credo...altrimenti vi autorizzo alle
> mazzate :-P

per questo ci sono scan automatici che testano un range di indirizzi ip 
controllando le porte di default di vari servizi se sono aperte.
Se devi usarlo solo in locale puoi:
1) configurarlo in modo che l'accesso è solo da 127.0.0.1
2) installare un firewall che blocca l'accesso dall'esterno

> > Quindi se hai un collegamento veloce nel giro di mezzora/un'ora
> > (non contando backup e restore dei dati) ti ritrovi il sistema
> > reinstallato come prima.

> ho pensato piu' volte di piallare tutto e ripartire da capo sopratutto
> da quando la Etch era passata stabile, il mio sys e' stato installato
> tramite sarge (2dvd grazie alla edicola...motivo spiegato dopo) dove
> dopo un po' sono passato alla testing che infatti seguo tutt'ora!

la reinstallazione del sistema è utile solo se è stato compromesso, 
altrimenti non è per nulla necessaria.

Io sono partito con Woody e ora uso Lenny.

> il prob mio e' che vivo nel bel mezzo del digital-divide e mi
> amputerei ben volentieri spesso qualche dito quando mi becco
> aggiornamenti di anche SOLO 200mb da scaricare col mio fantastico
> modem a crick aka 56k -.-

ma non hai accesso ad una linea veloce da un altro posto?
Usi apt-zip e una penna USB e risolvi questi problemi di aggiornamento

Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Browser: http://www.mozilla.org/products/firefox
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook