Repository 32bit  Forum
Repository 64bit  Wiki

Rootkit - Trovarsene installati sul pc

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Rootkit - Trovarsene installati sul pc

Messaggioda elettronicha » lun feb 13, 2006 9:04

Ho letto un po' in giro cos'è un rootkit e posso comprenderne la potenziale dannosità, ma come è possibile trovarne installati sulla propria macchina? Insomma, da soli non entrano, io non li scarico e installo, quindi da dove arrivano? E' possibile che del software sia stato modificato da qualche utente malizioso e ricompilato in modo tale da contenere dei rootkit?
E poi che livello di pericolosità hanno?

Grazie.
Avatar utente
elettronicha
Master
Master
 
Messaggi: 1712
Iscritto il: mar apr 12, 2005 23:00
Località: Torino

Messaggioda ZeroByte » lun feb 13, 2006 11:54

Effettivamente i rootkit non entrano da soli, ma se per caso qualche malintenzionato avesse preso controllo della tua macchina mentre eri connesso ad internet, avrebbe potuto sostituire qualche bel comando (tipo ps, ls, netstat...) per coprire le sue tracce. Fortunatamente questo scenario non è molto verosimile, visto che la stragrande maggioranza viaggia su Internet con indirizzi Ip sempre diversi e il Pinguino non è bersaglio preferito dagli attaccanti.
Per quanto riguarda i possibili effetti, tutto sta alla fantasia del cracker!
Comunque per verificare l'integrità della tua macchina puoi usare chrootkit.
Avatar utente
ZeroByte
Linux 2.0
Linux 2.0
 
Messaggi: 117
Iscritto il: sab feb 11, 2006 22:02
Località: Milano

Messaggioda Paoletta » lun feb 13, 2006 12:35

nel repository c'è anche rkhunter
Avatar utente
Paoletta
Staff
Staff
 
Messaggi: 3907
Iscritto il: dom apr 24, 2005 23:00
Località: Varese
Slackware: 13.1
Desktop: fluxbox

Messaggioda elettronicha » lun feb 13, 2006 13:38

Sì grazie, ho già controllato e il mio sistema è integro. Mi interessava solo sapere come si propagano i rootkit e l'unico modo che ho immaginato è quello per cui è l'utente stesso ad installarli tramite software che si ritiene sicuro ma che in realtà è stato modificato da cracker. Insomma, leggendo un po' su wikipedia lo scenario mi era sembrato preoccupante, ma forse ho fatto bene a a usare cautela nel crederci.
E' possibile che i vari checker che si trovano eccedano per zelo, riconoscendo dei root-kit in modifiche sicure apportate dall'utente stesso? In altre parole può essere che si comportino come degli antivirus troppo precisi che a volte segnalano come infezione nel primo settore del HD il boot-loader grub/lilo?
Avatar utente
elettronicha
Master
Master
 
Messaggi: 1712
Iscritto il: mar apr 12, 2005 23:00
Località: Torino

Messaggioda gallows » lun feb 13, 2006 13:41

E' possibile che i vari checker che si trovano eccedano per zelo, riconoscendo dei root-kit in modifiche sicure apportate dall'utente stesso?

Molto probabilmente sì.
Avatar utente
gallows
Staff
Staff
 
Messaggi: 3466
Iscritto il: dom set 19, 2004 23:00
Località: Palermo
Kernel: FreeBSD 8.0-RELEASE-p3
Desktop: ratpoison

Messaggioda DaNiMoTh » lun feb 13, 2006 14:51

I rootkit possono insinuarsi anche in kernel-space, occhio quindi ad applicare patch poco famose ai vanilla.

Il maggior uso dei rootkit viene fatto per assicurarsi un accesso privilegiato alla macchina, quindi in caso di attacco.
Avatar utente
DaNiMoTh
Linux 2.6
Linux 2.6
 
Messaggi: 941
Iscritto il: mar nov 30, 2004 0:00
Località: irc.syrolnet.org /// #slackware

Messaggioda IceSlack » lun feb 13, 2006 22:23

ma quindi e' facilemnte bucabil uns amacchina linux?
Avatar utente
IceSlack
Linux 3.x
Linux 3.x
 
Messaggi: 1313
Iscritto il: dom ott 30, 2005 13:27


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti

cron