|
| Precedente :: Successivo |
| Autore |
Messaggio |
anabasi
Amministratore
Registrato: 21/10/05 00:58
Messaggi: 14541
Residenza: Tra Alpi e Tanaro
|
 Inviato: 28 Ago 2008 21:07 Oggetto: * Chkrootkit e Rkhunter |
 |
|
Ho avuto qualche incertezza nello scegliere il forum in cui inserire questo post: in effetti, se si parlasse di Windows sarebbe un post da "Pronto Soccorso", ma trattandosi di una distro Linux (Ubuntu) credo che in "Linux" possa trovare più risposte. Lascio al moderatore l'ardua sentenza... 
Ho eseguito una scansione sia con Chkrootkit che con Rkhunter.
Chkrootkit
Tutte le risposta sono: "not found" oppure "not infected" tranne che:
| Codice: |
Searching for suspicious files and dirs, it may take a while...
/usr/lib/jvm/.java-6-sun.jinfo
/usr/lib/jvm/java-6-sun-1.6.0.07/.systemPrefs
/usr/lib/xulrunner-1.9.0.1/.autoreg
/usr/lib/firefox-3.0.1/.autoreg
/lib/modules/2.6.24-20-generic/volatile/.mounted
|
Ovviamente ho Java di Sun e Firefox installati (FF fa parte di default della distribuzione), ma non saprei dire se le cartelle indicate da Chkrootkit siano legittime o meno.
Stesso dubbio per la terza e la quinta segnalazione. 
Inoltre Chkrootkit, nell'ultima riga del report, indica:
| Codice: |
Checking `z2'... user MIONOMEUTENTE deleted or never logged from lastlog!
|
Significa quello che penso, cioè che il MIONOMEUTENTE risulta essere cancellato oppure che io non mi sia mai loggato dall'ultima scansione?  (Cose entrambe impossibili, essendo l'unico utente del sistema)
Rkhunter
Effettuando una scansione con il comando
| Codice: |
sudo rkhunter -c --logfile /mnt/path-della-cartella-dei-log/rkhunter.log --sk
|
La voce "Checking system commands" dà sempre "not found" oppure "OK"
La voce "Checking for rootkits" dà sempre "not found" oppure "OK"
La voce "Checking the network" dà sempre "not found"
La voce "Checking application versions" dà sempre "OK"
La voce "Checking the local host" dà sempre risposte favorevoli (verde) tranne che:
| Codice: |
Performing filesystem checks
Info: Starting test name 'filesystem'
Info: SCAN_MODE_DEV set to 'THOROUGH'
Checking /dev for suspicious file types [ Warning ]
Warning: Suspicious file types found in /dev:
/dev/shm/pulse-shm-2732077916: data
/dev/shm/pulse-shm-990755751: data
Checking for hidden files and directories [ Warning ]
Warning: Hidden directory found: /etc/.java
Warning: Hidden directory found: /dev/.static
Warning: Hidden directory found: /dev/.udev
Warning: Hidden directory found: /dev/.initramfs
|
E' una situazione normale, oppure devo preoccuparmi?
Ancora a proposito di Rkhunter:
Una settimana fa avevo effettuato una scansione con lo stesso comando usato oggi e alla voce "Checking if the O/S has changed since last time" il log indicava:
| Codice: |
Warning: The O/S name or version has changed since the last run:
Old O/S value: Ubuntu 8.04 New value: Ubuntu 8.04.1
Because of the change(s) the file properties checks may give some false-positive results.
You may need to re-run rkhunter with the '--propupd' option.
Warning: WARNING! It is the users responsibility to ensure that when the '--propupd' option
is used, all the files on their system are known to be genuine, and installed from a
reliable source. The rkhunter '--check' option will compare the current file properties
against previously stored values, and report if any values differ. However, rkhunter
cannot determine what has caused the change, that is for the user to do.
|
Infatti, nel report molte "file properties" risultavano essere state modificate, con relativi "Warning"; il "System checks summary" indicava:
| Codice: |
File properties checks...
Required commands check failed
Files checked: 122
Suspect files: 13
Rootkit checks...
Rootkits checked : 109
Possible rootkits: 0
Applications checks...
Applications checked: 3
Suspect applications: 0
|
Effettuando la stessa scansione con l'opzione '--propupd'
| Codice: |
sudo rkhunter -c --propupd --logfile /mnt/path-della-cartella-dei-log/rkhunter.log --sk
|
il "System checks summary" indicava:
| Codice: |
File properties checks...
Required commands check failed
Files checked: 122
Suspect files: 0
Rootkit checks...
Rootkits checked : 109
Possible rootkits: 0
Applications checks...
Applications checked: 3
Suspect applications: 0
|
In conclusione, come può l'utente medio (cioè non un utente professionale) di una distribuzione Linux essere consapevole che le modifiche alle proprietà dei files presi in esame siano tutte causate da una "modifica del nome o della versione del S.O." e che "tutti i files del sistema siano genuini e installati da una fonte affidabile"?
Probabilmente mi sto preoccupando troppo...
Un'ultima cosa:
Rkhunter è stato installato scaricandolo dai repo di Ubuntu.
Dando il seguente comando durante la connessione
| Codice: |
sudo rkhunter --versioncheck
|
risulta che la versione installata è la 1.3.0 e che ne è stata rilasciata (ormai da mesi) una superiore.
Che fare? Installare manualmente la più recente o aspettare che i repo di Ubuntu vengano aggiornati?
Grazie  |
|
| Top |
|
 |
MK66
Moderatore Sistemi Operativi
Registrato: 17/10/06 22:24
Messaggi: 8616
Residenza: dentro una cassa sotto 3 metri di terra...
|
| Inviato: 28 Ago 2008 22:54 Oggetto: Re: Chkrootkit e Rkhunter |
|
|
| anabasi ha scritto: | Ho avuto qualche incertezza nello scegliere il forum in cui inserire questo post: in effetti, se si parlasse di Windows sarebbe un post da "Pronto Soccorso", ma trattandosi di una distro Linux (Ubuntu) credo che in "Linux" possa trovare più risposte. Lascio al moderatore l'ardua sentenza...
|
Non essendoci una sottosezione Pronto Soccorso Linux (anche perchè non avrebbe clienti...  ) credo che si possa lasciare tranquillamente qui.
| anabasi ha scritto: |
Ho eseguito una scansione sia con Chkrootkit che con Rkhunter.
Chkrootkit
Tutte le risposta sono: "not found" oppure "not infected" tranne che:
| Codice: |
Searching for suspicious files and dirs, it may take a while...
/usr/lib/jvm/.java-6-sun.jinfo
/usr/lib/jvm/java-6-sun-1.6.0.07/.systemPrefs
/usr/lib/xulrunner-1.9.0.1/.autoreg
/usr/lib/firefox-3.0.1/.autoreg
/lib/modules/2.6.24-20-generic/volatile/.mounted
|
Ovviamente ho Java di Sun e Firefox installati (FF fa parte di default della distribuzione), ma non saprei dire se le cartelle indicate da Chkrootkit siano legittime o meno.
Stesso dubbio per la terza e la quinta segnalazione.
|
Per le prime 2, penso che tu abbia installato il sun-java-6 da synaptic: io non ce l'ho installato, quindi non sono in grado di verificare
Le altre 3 corrispondono a quello che ho io, a parte che tu hai la versione 2.6.24.20? io sono ancora con la 19...
Questo significa probabilmente che hai aggiornato dagli archivi "proposti"?
chkrootkit comunque ti ha dato solamente dei warning, normalmente sono dei falsi allarmi dovuti a una difficoltà del programma nell'analizzare quella particolare cartella o file in quel particolare istante (possibile che nello stesso istante fosse in uso dal programma legittimo)
| anabasi ha scritto: |
Inoltre Chkrootkit, nell'ultima riga del report, indica:
| Codice: |
Checking `z2'... user MIONOMEUTENTE deleted or never logged from lastlog!
|
Significa quello che penso, cioè che il MIONOMEUTENTE risulta essere cancellato oppure che io non mi sia mai loggato dall'ultima scansione? (Cose entrambe impossibili, essendo l'unico utente del sistema)
|
Per questo, leggi l'ultima frase di questo post
| anabasi ha scritto: |
Rkhunter
Effettuando una scansione con il comando
| Codice: |
sudo rkhunter -c --logfile /mnt/path-della-cartella-dei-log/rkhunter.log --sk
|
La voce "Checking system commands" dà sempre "not found" oppure "OK"
La voce "Checking for rootkits" dà sempre "not found" oppure "OK"
La voce "Checking the network" dà sempre "not found"
La voce "Checking application versions" dà sempre "OK"
La voce "Checking the local host" dà sempre risposte favorevoli (verde) tranne che:
| Codice: |
Performing filesystem checks
Info: Starting test name 'filesystem'
Info: SCAN_MODE_DEV set to 'THOROUGH'
Checking /dev for suspicious file types [ Warning ]
Warning: Suspicious file types found in /dev:
/dev/shm/pulse-shm-2732077916: data
/dev/shm/pulse-shm-990755751: data
Checking for hidden files and directories [ Warning ]
Warning: Hidden directory found: /etc/.java
Warning: Hidden directory found: /dev/.static
Warning: Hidden directory found: /dev/.udev
Warning: Hidden directory found: /dev/.initramfs
|
E' una situazione normale, oppure devo preoccuparmi?
|
Per i warning delle cartelle nascoste non ci sono problemi
(io non ho file nella cartella /dev/shm/pulse-shm-... ma non vuol dire nulla: la cartella dev fa riferimento ai dispositivi connessi al sistema, quindi il fatto che io non abbia nulla in shm non vuol dire assolutamente nulla.
| anabasi ha scritto: |
Ancora a proposito di Rkhunter:
Una settimana fa avevo effettuato una scansione con lo stesso comando usato oggi e alla voce "Checking if the O/S has changed since last time" il log indicava:
| Codice: |
Warning: The O/S name or version has changed since the last run:
Old O/S value: Ubuntu 8.04 New value: Ubuntu 8.04.1
Because of the change(s) the file properties checks may give some false-positive results.
You may need to re-run rkhunter with the '--propupd' option.
Warning: WARNING! It is the users responsibility to ensure that when the '--propupd' option
is used, all the files on their system are known to be genuine, and installed from a
reliable source. The rkhunter '--check' option will compare the current file properties
against previously stored values, and report if any values differ. However, rkhunter
cannot determine what has caused the change, that is for the user to do.
|
Infatti, nel report molte "file properties" risultavano essere state modificate, con relativi "Warning"; il "System checks summary" indicava:
| Codice: |
File properties checks...
Required commands check failed
Files checked: 122
Suspect files: 13
Rootkit checks...
Rootkits checked : 109
Possible rootkits: 0
Applications checks...
Applications checked: 3
Suspect applications: 0
|
Effettuando la stessa scansione con l'opzione '--propupd'
| Codice: |
sudo rkhunter -c --propupd --logfile /mnt/path-della-cartella-dei-log/rkhunter.log --sk
|
il "System checks summary" indicava:
| Codice: |
File properties checks...
Required commands check failed
Files checked: 122
Suspect files: 0
Rootkit checks...
Rootkits checked : 109
Possible rootkits: 0
Applications checks...
Applications checked: 3
Suspect applications: 0
|
In conclusione, come può l'utente medio (cioè non un utente professionale) di una distribuzione Linux essere consapevole che le modifiche alle proprietà dei files presi in esame siano tutte causate da una "modifica del nome o della versione del S.O." e che "tutti i files del sistema siano genuini e installati da una fonte affidabile"?
Probabilmente mi sto preoccupando troppo... |
L'avviso te lo ha dato direttamente il programma (probabilmente tra le due scansioni hai fatto un aggiornamento di sistema) e quindi il programma ti avvisa che ci potranno essere dei falsi positivi (il programma infatti confronta i risultati della scansione attuale con il suo database e con i risultati della scansione precedente, per dare i suoi risultati [ok] [not found] e [warning] --- se gironzoli nella cartella /var/log/ vedrai che oltre al log della scansione attuale c'è infatti il log precedente)
Sostanzialmente l'utente medio è consapevole di quanto sopra da:
1) l'avviso che gli da direttamente il programma
2) la consapevolezza di aver (nell'intervallo tra due scansioni) fatto aggiornamenti solo da repo affidabili (quelli che hai in /etc/apt/sources.list)
E' lo stesso utente che si sceglie i repository da cui "attingere" (Ubuntu preinstalla i propri, tutti gli altri vengono modificati e installati dall'utente) e, se non ha tendenze strane, solitamente si limita a repo ufficiali o comunque che ritiene affidabili. Tutto quello che installa proviene esclusivamente da questi repositories, e si tratta di pacchetti che vengono usati e gestiti da migliaia di utenti, tra i quali anche parecchi che sono perfettamente in grado di leggere il codice sorgente e capire cosa fa realmente quel pacchetto... credi che un malintenzionato abbia la possibilità di gestire a lungo un repo con un controllo simile?
E soprattutto, visto che il codice sorgente è disponibile e leggibile da chiunque ne sia capace, chi scopre un eventuale passaggio "strano" nel codice ci mette un attimo a... fare le dovute modifiche e distribuire la versione corretta...
| anabasi ha scritto: |
Un'ultima cosa:
Rkhunter è stato installato scaricandolo dai repo di Ubuntu.
Dando il seguente comando durante la connessione
| Codice: |
sudo rkhunter --versioncheck
|
risulta che la versione installata è la 1.3.0 e che ne è stata rilasciata (ormai da mesi) una superiore.
Che fare? Installare manualmente la più recente o aspettare che i repo di Ubuntu vengano aggiornati?
Grazie |
Nulla ti vieta di installare il sorgente nuovo, ma sinceramente non vedo la necessità di anticipare i tempi: i pacchetti che hanno a che fare con la sicurezza sono inseriti abbastanza rapidamente tra gli aggiornamenti...
Rilassati: credo che hai ancora alcuni sintomi di panico da altro sistema operativo... |
|
| Top |
|
|
anabasi
Amministratore
Registrato: 21/10/05 00:58
Messaggi: 14541
Residenza: Tra Alpi e Tanaro
|
| Inviato: 28 Ago 2008 23:48 Oggetto: Re: Chkrootkit e Rkhunter |
|
|
Ti ringrazio del tempo che mi hai dedicato: credo di aver impegnato con questo mio post chilometrico buona parte della tua serata 
Così come è servito a dipanare i miei dubbi, spero che sia utile per risolvere anche quelli di altri "scansionatori preoccupati" come me!
| MK66 ha scritto: | | Non essendoci una sottosezione Pronto Soccorso Linux (anche perchè non avrebbe clienti... ).... |
| MK66 ha scritto: | | Per le prime 2, penso che tu abbia installato il sun-java-6 da synaptic |
Sì, da Synaptic.
| MK66 ha scritto: | | tu hai la versione 2.6.24.20? [...] Questo significa probabilmente che hai aggiornato dagli archivi "proposti"? |
Ho la versione 2.6.24-20, aggiornata ieri dagli "aggiornamenti raccomandati (hardy updates)". Da qualche tempo ho disattivato la notifica degli "aggiornamenti proposti (hardy proposed)".
| MK66 ha scritto: | | chkrootkit comunque ti ha dato solamente dei warning, normalmente sono dei falsi allarmi dovuti a una difficoltà del programma nell'analizzare quella particolare cartella o file in quel particolare istante (possibile che nello stesso istante fosse in uso dal programma legittimo) |
Ottimo
| MK66 ha scritto: | | anabasi ha scritto: |
Checking `z2'... user MIONOMEUTENTE deleted or never logged from lastlog! |
Per questo, leggi l'ultima frase di questo post |
A suo tempo avevo letto il thread, ma quel particolare non mi era rimasto impresso (forse perché non avevo ancora controllato con attenzione i miei log di Chkrootkit)
| MK66 ha scritto: |
Sostanzialmente l'utente medio è consapevole di quanto sopra da:
1) l'avviso che gli da direttamente il programma
2) la consapevolezza di aver (nell'intervallo tra due scansioni) fatto aggiornamenti solo da repo affidabili (quelli che hai in /etc/apt/sources.list)
E' lo stesso utente che si sceglie i repository da cui "attingere" (Ubuntu preinstalla i propri, tutti gli altri vengono modificati e installati dall'utente) e, se non ha tendenze strane, solitamente si limita a repo ufficiali o comunque che ritiene affidabili. Tutto quello che installa proviene esclusivamente da questi repositories... |
OK, tutto chiaro. Nel mio caso, l'unica aggiunta ai repo ufficiali è quello di Wine.
| MK66 ha scritto: | ...sinceramente non vedo la necessità di anticipare i tempi: i pacchetti che hanno a che fare con la sicurezza sono inseriti abbastanza rapidamente tra gli aggiornamenti...
Rilassati: credo che hai ancora alcuni sintomi di panico da altro sistema operativo... |
Sono d'accordo con te: mi sto disintossicando, pian piano. Ormai ho ridotto ai minimi termini le dosi dell'agente intossicante...
 |
|
| Top |
|
|
MK66
Moderatore Sistemi Operativi
Registrato: 17/10/06 22:24
Messaggi: 8616
Residenza: dentro una cassa sotto 3 metri di terra...
|
| Inviato: 29 Ago 2008 21:58 Oggetto: Re: Chkrootkit e Rkhunter |
 |
|
| anabasi ha scritto: | | Ti ringrazio del tempo che mi hai dedicato: credo di aver impegnato con questo mio post chilometrico buona parte della tua serata |
Non ti preoccupare: sono riuscito a fare relativamente in fretta perchè avevo fatto da poco una scansione io, quindi il confronto dei risultati dei log è stato rapido... c'ho messo un pò a cercare info sulle differenze riscontrate...
| anabasi ha scritto: | | Così come è servito a dipanare i miei dubbi, spero che sia utile per risolvere anche quelli di altri "scansionatori preoccupati" come me! |
Speriamo, anche se io non sono certo un mago da Pronto Soccorso... però, finchè si trovano informazioni in rete, qualche conclusione la si può trarre...
| anabasi ha scritto: |
| MK66 ha scritto: | | Rilassati: credo che hai ancora alcuni sintomi di panico da altro sistema operativo... |
Sono d'accordo con te: mi sto disintossicando, pian piano. Ormai ho ridotto ai minimi termini le dosi dell'agente intossicante... |
Beato te... ...io purtroppo ci devo convivere tutti i giorni... 
|
|
| Top |
|
|
|
|
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
