È passato più di un mese da quando Kernel.org è stato messo in manutenzione a causa della compromissione dei suoi server. Ieri Greg Kroah-Hartman ha inviato un messaggio alla Linux Kernel Mailing List spiegando che l’hacking dei server è stato reso possibile grazie a un sistema infetto di uno degli sviluppatori di Linux.
Kroah-Hartman ha fornito alcuni consigli su come rilevare la compromissione di un sistema Linux, in questo post voglio fare altrettanto prendendo come distribuzione di esempio Ubuntu.
Vediamo gli strumenti che si possono usare per rilevare la compromissione di Ubuntu e/o l’infezione da parte di rootkit:
Rootkit hunter e antivirus
- chkrootkit:
sudo apt-get install chkrootkit
- rkhunter:
sudo apt-get install rkhunter
- tiger:
sudo apt-get install tiger
- clamav:
sudo apt-get install clamav
- unhide:
sudo apt-get install unhide
Verifica dell’integrità dei file
- integrit:
sudo apt-get install integrit
(guida all’uso di integrit) - tripwire: sudo apt-get install tripwire (guida all’installazione e uso di tripwire)
debsums: sudo apt-get install debsums
(ecco una guida all’uso di debsums)
Analizzare file, processi, contenuto dei file e connessioni di rete attive
- lsof: sudo apt-get install lsof (ecco una guida all’uso di lsof)
- strings
- ldd
- ltrace
- strace
- objdump
- hexdump:
sudo apt-get install hexdump
- file
- tcpdump:
sudo apt-get install tcpdump
- wireshark:
sudo apt-get install wireshark
Mancano da questo elenco sistemi di intrusion detection come OSSEC o Snort che però funzionano più come strumenti preventivi e trovano il loro miglior utilizzo su macchine server e non su Linux-box usate come workstation.
Rimando ai commenti per altri strumenti da includere e nuove aree da aggiungere a quelle elencate.