Re: [ml] warning di chkrootkit: che fare?

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Emanuele Olivetti wrote:
> Forse puo' interessare. ho scritto agli sviluppatori di chkrootkit.
> Mi ha risposto gentilmente Nelson Murilo dicendo che non si aspetta
> neppure lui un segmentation fault e che potrebbe essere un problema
> gia' preesistente in un modulo del kernel.
Ottimo il feedback agli sviluppatori, secondo me a volte deve essere una
scelta obbligata.
Investiga sui moduli che hai caricato, se c'è qualche modulo non
opensource, se il kernel è
aggiornato, cose così insomma.

Nei log di sistema hai visto qualcosa di strano?
Anyway ti suggerisco, che male non fa, di partire dalla
"TuaDistribuzione" Hardening
Guide (la trovi su google, non ho il link sottomano)  :)

Riassumendo:
1. recupera la guida all'hardening della tua distro e assorbine i concetti
2. verifica che nei giorni incriminati non ci siano stati tentativi di
accesso non autorizzato
3. controlla i moduli che hai caricato cercando su google per problemi
analoghi al tuo
4. se possibile confronta l'md5 dei binari dei demoni e dei binari suid
con i corrispondenti per la tua distro e per quella versione memorizzati
su un supporto fidato (es macchina nuova/cd distribuzione)

Il tutto con molto molto IMHO.
sp0nge
- --
Paolo Perego - <sponge@xxxxxxxxxxxxx>	web: http://angel-lsm.sf.net

Non me, gente.  Io leggo le pagine di manuale della Bash ogni giorno
come un Testimone di Geova legge la Bibbia.  No, aspettate, le pagine di
manuale della Bash SONO la bibbia.  Scusatemi...
		-- Da un articolo in comp.os.linux.misc
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org

iD8DBQFDhJ5YJLAJvrvZp/wRAimHAKCBKkRWnswO8cyhV7uXYU0Q/cMH0ACgjiBf
z/T29VaDG859X1+npZtXJzU=
=I3Fu
-----END PGP SIGNATURE-----