Sicurezza e controllo con ChkRootkit e RkHunter

Controllare un sistema per verificare se per caso sia stato violato a un’operazione lunga e spesso difficile.
Colui che ci attacca e che tenta di “bucare” il nostro sistema, spesso a molto piu competente di noi e riesce in molti casi a mantenere il controllo della macchina rimanendo invisibile al nostro controllo.
Esistono alcune verifiche rapide per essere certi che il nostro sistema non sia stato violato:

[ad#ads]

  • controllare i log di sistema alla ricerca di tracce anomale, per lo meno diverse da quelle che siamo abituati a vedere:
  • controllare di log di Apache e dell’FTP server alla ricerca di attacchi, worm e attivita anomale, come le connessioni aperte con wget o ftp direttamente da Apache
  • controllare il file bash~histor~ di root alla ricerca di comandi che non riconosciamo come nostri
    controllare il contenuto delle directory /tmp, /var/tmp, /dev/shm e di tutte quelle directory su cui c’e liberty di scrittura
  • verificare i processi in esecuzione, il carico di sistema che deve essere quello “solito” e la presenza di eventuali processi anomali
  • usare netstat o meglio installare un portscanner, come il noto nmap, ed effettuare una scansione del nostro sistema per verificare quali porte abbia aperte.
  • verificare lo spazio di disco occupato, un suo anomalo aumento a sempre sintomo di una possibile violazione.

In realty fare tutti questi controlli in modo giornaliero, puo essere lungo e noioso, proprio per questo a bene dotarsi di almeno un paio di strumenti utili a velocizzare queste operazioni e a controllare lo stato della sicurezza del sistema al posto nostro.
Vi sono molti programmi di questo tipo, ma Chkrootkit e Rkhunter sono senza dubbio i piu noti e supportati.
Sono sempre aggiornati con nuove firme e sono decisamente utili per il security check del nostro sistema.
Ricadono nel campo della sicurezza passiva, ovvero ci consentono di controllare il sistema per essere avvertiti in caso di intrusione.

 

Chkrootkit nasce come Rootkit detector ed a proprio questa la sua vocazione. E’ veloce, semplice da usare, in grado di rilevare numerosi rootkit, alterazioni dei nostri file e modifiche ai log di sistema.
Rkhunter non a solo un rootkit detector davvero molto ben fatto, ma a anche un programma in grado di verificare il nostro sistema, alla ricerca di attivity anomale e di debolezze.
Puo infatti segnalarci variazioni a file di sistema importanti come passwd oppure la vulnerability dei nostri software.
Puo essere usato in modality standalone oppure automaticamente dal sistema con l’invio di report per email.
L’installazione di questi due software è banale, si tratta solo di compilarli ed farli eseguire periodicamete, secondo le proprie necessità, dal crond.