Home [Sicurezza Server] Monitoriamo il Sistema

[Sicurezza Server] Monitoriamo il Sistema

Mer, 22/09/2004 - 11:16

[Sicurezza Server] Monitoriamo il Sistema

Inviato da Anonimo 0 commenti

Nell ultimo articolo eravamo rimasti ai RootKit , ma se siamo infetti come scoprirlo?
con il checksum dei binari di sistema , in questa guida vedremo come fare.

Partiamo dal presupposto che per poter mettere in atto quanto diremo da qui in poi abbiamo bisogno o di una macchina con os appena installato o dobbiamo essere sicuri al 300% che la nostra macchina non sia compromessa.
Partiamo con lo scaricarci uno di questi 2 software AFICK AIDE (si veda fondo pagina per i link)

il bello di questi programmi e che oltre che calcore il checksum dei binari , possono controllare gli accessi , i permessi , il numero di link simbolici e tanto altro ancora,per questa guida io mi basero' su AFICK , a noi interessa il file afick.pl e afick.conf il suo file di configurazione.
mettiamo questi 2 file in /root e prepariamoci per modificare il file di conf per esempio:
#esempio di file di conf
database:=./afick
warn_dead_symlinks := yes
exclude_suffix := wav WAV mp3 avi
=/ d+i+p+u+g
=/bin p+n+b+m+c+md5
=/sbin p+n+b+m+c+md5
=/usr/sbin p+n+b+m+c+md5
=/usr/bin p+n+b+m+c+md5

dopo aver controllato che la prima riga di afick.pl contenga la locazione precisa dell eseguibile Perl , possiamo passare a inizializzare il database dei nostri binari,
digitiamo da console quanto segue:

debian# ./afick.pl -c afick.conf -i

bene cosi' abbiamo creato il nostro database di sistema , ora facciamo passare un po di tempo e poi controlliamo come va'

debian# ./afick.pl -c afick.conf -k

se non abbiamo modificato nessun binari inserito nel file di configurazione dovrebbe apparirci in risposta dal programma
Hash Database : numero file scanned 0 changed ecc

bene ora proviamo a modificare qualche file , banalmente :

debian# touch /sbin/lilo

debian# ln-s /sbin/sulogin /usr/sbin/sulogin

ora rieseguiamo il controllo come prima , questa volta in risposta avremmo:
new symbolic link : /usr/sbin/sulogin
changed file : /sbin/lilo
changed directory :/usr/sbin

seguito dai dettagli delle varie operazioni compiute.
Dal momento che sappiamo che queste modifiche le abbiamo fatte noi
ora dobbiamo riaggiornare il database

debian# ./afick.pl -c afick.conf -u

ora sappiamo usare il nostro Monitor di sistema.

un consiglio che mi sento di darvi e di aggiungere un controllo al db tramite cron in base all uso della macchina ogni giorno ogni 2 ore vedete voi,
NON E' FINITA QUA"
credete che questo basti, invece no' pensate un momento se un hacker riuscisse a penetrare il vostro sistema , anche se il nostro db fosse conservato in una partizione apposita read-only , se l'hacker riuscisse a guadagnare la root potrebbe rimontare la partizione in r/w e compromettere il nostro db , quindi come fare diciamo che sara' la base per un prossimo articolo e si chiama RFC e GRSEC

link

www.afick.sourceforge.net
www.cs.tut.fi/~rammer/aide.html

un consiglio scaricate pure chkrootkit e aggiungetelo al cron insieme al tool per il controllo da voi scelto.
www.chkrootkit.org


In:


  • Login per inviare commenti
  • 2134 visite