Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati
  • Differenze per "Sicurezza/RootkitHunter"
Differenze tra le versioni 15 e 16
Versione 15 del 30/07/2008 17.35.37
Dimensione: 2354
Autore: Alberto
Commento:
Versione 16 del 31/07/2008 09.00.13
Dimensione: 2551
Autore: Alberto
Commento:
Le cancellazioni sono segnalate in questo modo. Le aggiunte sono segnalate in questo modo.
Linea 52: Linea 52:
L'unica contromisura che si può adottare è quella di utilizzare patch del '''kernel''', in grado di bloccare (nel senso che non permette modifiche) il '''kernel''' se qualcuno tenta di farlo.

Indice VersioniSupportate(hardy)

Introduzione

Rootkit è il programma ideale per ogni amministratore di sistema che desidera scoprire intrusi e codice maligno presenti nel proprio pc.

Il software permette di analizzare il file system, sottoponendo alla scansione tutti i file presenti in esso (come ad es. shell e script) alla ricerca di backdoor e rootkit e non.

Le tecniche di scansione sono:

  • Verifica dei codici (has) MD5 .
  • Segnalazione di permessi errati.
  • Blocco di tutti i moduli del kernel pericolosi e scansione dì tutti i file eseguibili.

Installazione

Per [:AmministrazioneSistema/InstallareProgrammi:installare] il programma RootkitHunter digitare in [:AmministrazioneSistema/RigaDiComando:terminale]: 

sudo apt-get install rkhunter

Completata l'installazione di Rootkit Hunter, prima di utilizzarlo è necessario aggiornare, sia il software, sia il database utilizzato per eseguire la scansione del sistema.

Digitare in [:AmministrazioneSistema/RigaDiComando:terminale]: 

rkhunter --update

Utilizzo

Per scansionare il sistema digitare: 

sudo rkhunter --checkall

Nella tabella di seguito vengono illustrati e spiegati gran parte dei comandi disponibili.

Opzione

Descrizione

- -createlogfile

Crea un file di log della scansione in /var/log/rkhunter.log.

- -disable-md5-check

Non esegue il controllo sugli hash MD5.

- -report-mode

Non visualizzare messaggi aggiuntivi, ma solo il report dell' analisi del sistema.

- -cronjob

Esegue Rootkit Hunter automaticamente ad intervalli di tempo regolari.

- -skip-keypress

Evita di dover premere ok alla fine di ogni test.

Una volta terminata la fase di controllo, Rootkit Hunter mostra un report dello stato del sistema.

Basta darci uno sguardo per capire se c'è qualcosa che non va nel computer.

Un Rootkit! E adesso?

L'unica contromisura che si può adottare è quella di utilizzare patch del kernel, in grado di bloccare (nel senso che non permette modifiche) il kernel se qualcuno tenta di farlo.

Ulteriori risorse

[http://www.rootkit.nl/projects/rootkit_hunter.html Sito ufficiale]

CategoryHomepage