The Megalinux
Di tutto un pò sul mondo della tecnologia e non solo!
The Megalinux
Di tutto un pò sul mondo della tecnologia e non solo!
Articoli

Attenti al rootkit!

Pubblicato -Aggiornato

PROTEGGERSI DAI ROOTKIT

Fortunatamente, oltre all’utility netstat, who o altre ancora che potrebbero essere state modificate per mascherare l’attacco dell’hacker, esistono due strumenti di rilevazione dei rootkit molto efficaci:

1) Chkrootkit (http://www.chkrootkit.org/download.htm)

2) The Rootkit Hunter (http://sourceforge.net/projects/rkhunter/files/)

L’installazione di Chkrootkit avviene in un primo momento attraverso il download dei sorgenti del programma come mostrato successivamente da linea di comando.

[root@prova] # wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

A questo punto, per poter continuare con la compilazione bisogna controllare l’integrità del pacchetto appena scaricato con il seguente comando.

[root@prova] # wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.md5

[root@prova] # md5sum -c chkrootkit.md5

Adesso, dopo una verifica positiva dell’integrità del pacchetto si può procedere a estrarre i sorgenti.

[root@prova] # tar zxvf chkrootkit.tar.gz

Quindi, si accede alla directory appena estratta e si compila attraverso il comando make

Una volta terminata la procedura di installazione si può utilizzare chkrootkit nel seguente modo.

[root@prova] # ./chkrootkit

Partirà un controllo del sistema e al termine verrete informati della presenza o meno di un rootkit. Per quanto riguarda il secondo software anti-rootkit l’installazione è abbastanza semplice, basta cercare tra i pacchetti disponibili per la distribuzione GNU/Linux il software rkhunter. Per esempio, per una vecchia distribuzione Fedora Core 10 per l’installazione di rkhunter ho utilizzato i seguenti comandi da superutente:

[root@prova]# yum search rkhunter

[root@prova]# yum instal rkhunter.noarch

Una volta installato rkhunter è il momento di lanciare il comando:

[root@prova] # rkhunter –checkall

ed inizierà il controllo del sistema come mostrato nell’immagine successiva.

Alla ricerca del RootKit

Figura 1.
(Alla ricerca di un rootkit)

Quando terminato, potrete sapere se il vostro sistema è infetto (immagine successiva), e potrete leggere un report più dettagliato sul fle rkhunter.log presente nella solita directory /var/.

Alla ricerca del RootKit con Rkhunter

Figura 2.
(Report sommario generato da rkhunter)

Ovviamente, l’installazione di rkhunter e anche degli altri strumenti di rilevamento dei deve avvenire subito, non appena il sistema si è connesso ad internet. Aspettare, significa compromettere la vulnerabilità del sistema e rendere difficile una successiva ricerca dei rootkit e risoluzione del problema o meglio dell’attacco.

No votes yet.
Please wait...

AUTORE

Ruggero Grando
Da anni sono un "appassionato" di informatica e in particolare del mondo GNU/Linux. Ho iniziato nel lontano 1998 come collaboratore di DADA s.p.a. per la testata SuperEva e nello specifico ho scritto numerosi articoli per il canale "Overclock dei processori". Nel 2001 ho dato il via, al sito Megaoverclock (https://www.megaoverclock.it) e per sei anni, ho contribuito alla diffusione della pratica dell'overclocking delle CPUs. Nello stesso periodo ho realizzato un versione beta di un software per la gestione di uno zoo in linguaggio Java, un prototipo di un sistema di raffreddamento per microprocessori e collaborato con alcune riviste nazionali del settore informatico. Nel 2011 ho lanciato il sito The Megalinux (https://www.megalinux.it) e ho scritto diversi articoli con l'obiettivo di promuovere la cultura del free sofware. Infine, negli ultimi anni, mi sono dedicato alla conoscenza del mondo della blockchain e delle cryptovalute sviluppando alcuni algoritmi in linguaggio Python per i sistemi di trading.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

undici + diciassette =

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.