Categorie
Security Ubuntu

Ubuntu: strumenti per rilevare la compromissione di un sistema

È passato più di un mese da quando Kernel.org è stato messo in manutenzione a causa della compromissione dei suoi server. Ieri Greg Kroah-Hartman ha inviato un messaggio alla Linux Kernel Mailing List spiegando che l’hacking dei server è stato reso possibile grazie a un sistema infetto di uno degli sviluppatori di Linux.

Kroah-Hartman ha fornito alcuni consigli su come rilevare la compromissione di un sistema Linux, in questo post voglio fare altrettanto prendendo come distribuzione di esempio Ubuntu.

Vediamo gli strumenti che si possono usare per rilevare la compromissione di Ubuntu e/o l’infezione da parte di rootkit:

Rootkit hunter e antivirus

  • chkrootkit: sudo apt-get install chkrootkit
  • rkhunter: sudo apt-get install rkhunter
  • tiger: sudo apt-get install tiger
  • clamav: sudo apt-get install clamav
  • unhide: sudo apt-get install unhide

Verifica dell’integrità dei file

Analizzare file, processi, contenuto dei file e connessioni di rete attive

Mancano da questo elenco sistemi di intrusion detection come OSSEC o Snort che però funzionano più come strumenti preventivi e trovano il loro miglior utilizzo su macchine server e non su Linux-box usate come workstation.

Rimando ai commenti per altri strumenti da includere e nuove aree da aggiungere a quelle elencate.