Re: [ml] Macchina bucata? Per rkhunter si, per chkrootkit no

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Novembre 2005 ml@sikurezza.org
Soggetto: Re: [ml] Macchina bucata? Per rkhunter si, per chkrootkit no
Mittente: Marco Bizzantino
Data: Mon, 28 Nov 2005 12:16:24 +0100 (CET)

On 11/27/05, Mailing List Manager <list@xxxxxxxxxxxxx> wrote:
>
[...].
>
> Voi,  quando dovete controllare una macchina e solo via SSH, come fate a
> fare questi controlli ? Che prodotti OS/Free utilizzate ?

Se la macchina usa rpm come gestore di pacchetti, un
rpm -Va
ti dice se i binari (e non solo) sono stati cambiati e quindi se
l'hash md5 e' diverso.
Se vedi che e' cosi', rkhunter ha ragione.

Se vuoi essere sicuro al 100%, controlla la versione dei pacchetti e
fai a mano l'md5sum dei binari del sistema con i binari puliti
presenti nel cd di installazione del sistema operativo oppure
scaricati da un mirror ufficiale: se coincinono tutto ok, se sono
diversi vuol dire che sono stati sostituiti e si ritorna a dar ragione
a rkhunter.

Questo come prima analisi direi che sufficiente.

Ciao
Bizza

In risposta a:
- [ml] Macchina bucata? Per rkhunter si, per chkrootkit no, Mailing List Manager

Data:
- precedente: Re: [ml] TippingPoint X505, Stefano Zanero
- successivo: [ml] ip balcklistato o disservizio, Giuseppe `lan` Marocchio
- indice

Argomento:
- precedente: [ml] Macchina bucata? Per rkhunter si, per chkrootkit no, Mailing List Manager
- successivo: [ml] TippingPoint X505, andrea pierini
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005