Attenti al rootkit!


PROTEGGERSI DAI ROOTKIT

Fortunatamente, oltre all’utility netstat, who o altre ancora che potrebbero essere state modificate per mascherare l’attacco dell’hacker, esistono due strumenti di rilevazione dei rootkit molto efficaci:

1) Chkrootkit (http://www.chkrootkit.org/download.htm)

2) The Rootkit Hunter (http://sourceforge.net/projects/rkhunter/files/)

L’installazione di Chkrootkit avviene in un primo momento attraverso il download dei sorgenti del programma come mostrato successivamente da linea di comando.

[root@prova] # wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

A questo punto, per poter continuare con la compilazione bisogna controllare l’integrità del pacchetto appena scaricato con il seguente comando.

[root@prova] # wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.md5

[root@prova] # md5sum -c chkrootkit.md5

Adesso, dopo una verifica positiva dell’integrità del pacchetto si può procedere a estrarre i sorgenti.

[root@prova] # tar zxvf chkrootkit.tar.gz

Quindi, si accede alla directory appena estratta e si compila attraverso il comando make

Una volta terminata la procedura di installazione si può utilizzare chkrootkit nel seguente modo.

[root@prova] # ./chkrootkit

Partirà un controllo del sistema e al termine verrete informati della presenza o meno di un rootkit. Per quanto riguarda il secondo software anti-rootkit l’installazione è abbastanza semplice, basta cercare tra i pacchetti disponibili per la distribuzione GNU/Linux il software rkhunter. Per esempio, per una vecchia distribuzione Fedora Core 10 per l’installazione di rkhunter ho utilizzato i seguenti comandi da superutente:

[root@prova]# yum search rkhunter

[root@prova]# yum instal rkhunter.noarch

Una volta installato rkhunter è il momento di lanciare il comando:

[root@prova] # rkhunter –checkall

ed inizierà il controllo del sistema come mostrato nell’immagine successiva.

Alla ricerca del RootKit

Figura 1.
(Alla ricerca di un rootkit)

Quando terminato, potrete sapere se il vostro sistema è infetto (immagine successiva), e potrete leggere un report più dettagliato sul fle rkhunter.log presente nella solita directory /var/.

Alla ricerca del RootKit con Rkhunter

Figura 2.
(Report sommario generato da rkhunter)

Ovviamente, l’installazione di rkhunter e anche degli altri strumenti di rilevamento dei deve avvenire subito, non appena il sistema si è connesso ad internet. Aspettare, significa compromettere la vulnerabilità del sistema e rendere difficile una successiva ricerca dei rootkit e risoluzione del problema o meglio dell’attacco.

No votes yet.
Please wait...
Voting is currently disabled, data maintenance in progress.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

quindici − quindici =

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.