Attacco rootkit.

[Argos]

Salve.

Mi sa che sul kernel della manriva ho delle manomissioni! .

Scansiando con RKhunter, tra l'altro eccellente, ha trovato delle intrusioni o rischi di sicurezza, veramente ancora non ho capito bene .

Leggendo su la rivista di linux magazine giugno 2007 N°76 a pag. 94, ci sono dei consigli per tenersi a riparo da questi attacchi. Mi chiedevo, prima di mettermi a smanettare, se dal 2007 ad oggi ci siano stati rilasciati software per la sicurezza in questo senso, on d'evitare di creare qualche danno al kernel con l'installazione di LIDS (www.lids.org), SELinux che ancora non so come funziona (www.nsa.gov/selinux), Nessus che devo ancora visitare (www.nessus.org), Carbonite ancora da visitare (www.foundstone.com), e per ultimo c'è Tripwire, ma ho letto che deve essere installato subito dopo l'installazione della distro e in più, con una configurazione e distribuzione delle partizioni lungo il HD particolare .

Se qualcuno è bravo a difendere il suo kernel da questi attacchi (rootkits) gradirei molto i consigli, suggerimenti o diritte.

[ed]

postaci gli avvisi che sono curioso non mi era mai capitato di vedere un esito positivo anche perchè correggetemi se sbaglio un rootkit lkm(che si insedia come modulo del kernel) altera le risposte che il kernel invia alle libbrerie quindi e' teoricamente invisibile.si dovrebbe poter vedere solo un modulo anomalo caricato nel kernel che se hanno installato delle versioni modificate degli eseguibili di sistema non lo vedi neanche.

potresti provare ad installare Busybox che contiene in un unico eseguibile quasi tutti gli eseguibili di sistema,(stando attento ad non installarli sopra a quelli del tuo sistema che senno non ti funziona più il tuo sistema e fai più danni del rootkit) così potresti provare a vedere se c'e' qualche modulo inserito nel kernel o qualche porta aperta con il netstat del busybox .
oppure piu' semplicemente reinstallare coreutils che contiene tutti gli eseguibili di base del sistema e dai un okkiata.

ps. occhio anche ai falsi positivi a volte questi programmi di scansione esagerano un po'

[Argos]

Ciao ed 

Spero tanto di essermi solo spaventato (cosa che ritengo molto probabile ), guarda:

System checks summary
=====================

File properties checks...
    Required commands check failed
    Files checked: 170
    Suspect files: 3

Rootkit checks...
    Rootkits checked : 118
    Possible rootkits: 0

Applications checks...
    Applications checked: 8
    Suspect applications: 0

The system checks took: 1 minute and 12 seconds

Poi i warnings della scanzione:

 Warning: Checking for prerequisites               [ Warning ]
[16:21:54]          The file of stored file properties (rkhunter.dat) does not exist, and so must be created. To do this type in 'rkhunter --propupd$
[16:21:54]
[16:21:54] Warning: WARNING! It is the users responsibility to ensure that when the '--propupd' option
           is used, all the files on their system are known to be genuine, and installed from a
           reliable source. The rkhunter '--check' option will compare the current file properties
           against previously stored values, and report if any values differ. However, rkhunter
           cannot determine what has caused the change, that is for the user to do

 Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: a /usr/bin/bash script text executable
 
Warning: The command '/usr/bin/whatis' has been replaced by a script: /usr/bin/whatis: Bourne shell script text executable
 
/usr/sbin/adduser                                 [ Warning ]
 Warning: The command '/usr/sbin/adduser' has been replaced by a script: /usr/sbin/adduser: Bourne-Again shell script text executable
Running skdet command                         [ Skipped ]
 
Warning: The SSH configuration option 'PermitRootLogin' has not been set.
           The default value may be 'yes', to allow root access.
 
Warning: Hidden directory found: /dev/.udev

Garzie

[trinity99]

Se puo servirti:
http://openskill.info/infobox.php?ID=17

Ciao.

[Argos]

Grazie trinity99  .