Forum Ubuntu-it

michele300 ha scritto: ho fatto tutte le mie brave impostazioni del OS
->disabilitare login root ssh,
cambiare stringa "tmps" in /etc/fstab,
ecc. ecc.
riformattato più volte.

ogni volta che installo rkhuner + unhide,
quest'ultimo mi trova SEMPRE, leggasi SEMPRE,  "HIDDEN PIDS"
(->precursori e sintomatici di rootkits)

1) sono FALSE POSITIVES o altro?
2) qualcuno mi suggerisce settaggio OS ubuntu a prova di BOMBA ATOMICA?

la mia sarà paranoia ma..
scovare ogni volta 3-4 HIDDEN PIDS mi inquieta..

Su linux virus e malware non ci sono perchè sono...SUPERFLUI,
basta diventare "root" e poi fai quello che vuoi..

grazie.

ciao.

UNHIDE

Forensic tool to find hidden processes and ports
Unhide is a forensic tool to find processes and TCP/UDP ports hidden by
rootkits, Linux kernel modules or by other techniques.  It includes two
utilities: unhide and unhide-tcp.

unhide detects hidden processes using three techniques:
- comparing the output of /proc and /bin/ps
- comparing the information gathered from /bin/ps with the one gathered
   from system calls (syscall scanning)
- full scan of the process ID space (PIDs bruteforcing)

unhide-tcp identifies TCP/UDP ports that are listening but are not listed in
/bin/netstat through brute forcing of all TCP/UDP ports available.

This package can be used by rkhunter in its daily scans.

NON FIDATEVI TROPPO DELL'INVULNERABILITÀ DI LINUX....

michele300 ha scritto: appena installato UBUNTU 8.10.

correttivi tmpfs sudo aggiornamenti etc.

installo rkhunter + unhide + chkrootkit

RISULTATO???
chkrootkit:
possible 4 (!) LKM TROJAN

unhide:
una CATERVA di "HIDDEN PIDs"

DOPO NEANCHE MEZZ'ORA DALL' INSTALLAZIONE..!!

..e questo sarebbe un sistema sicuro?

ALMENO NON ROMPETECI LE P***E colla inviolabilità di ubuntu...!!

ALMENO SIATE ONESTI..!!

SALUTI!!

ps -Af

Jano           _ ha scritto:

michele300 ha scritto:

michele300 ha scritto: ho fatto tutte le mie brave impostazioni del OS
->disabilitare login root ssh,
cambiare stringa "tmps" in /etc/fstab,
ecc. ecc.
riformattato più volte.

ogni volta che installo rkhuner + unhide,
quest'ultimo mi trova SEMPRE, leggasi SEMPRE,  "HIDDEN PIDS"
(->precursori e sintomatici di rootkits)

1) sono FALSE POSITIVES o altro?
2) qualcuno mi suggerisce settaggio OS ubuntu a prova di BOMBA ATOMICA?

la mia sarà paranoia ma..
scovare ogni volta 3-4 HIDDEN PIDS mi inquieta..

Su linux virus e malware non ci sono perchè sono...SUPERFLUI,
basta diventare "root" e poi fai quello che vuoi..

grazie.

ciao.

UNHIDE

Forensic tool to find hidden processes and ports
Unhide is a forensic tool to find processes and TCP/UDP ports hidden by
rootkits, Linux kernel modules or by other techniques.  It includes two
utilities: unhide and unhide-tcp.

unhide detects hidden processes using three techniques:
- comparing the output of /proc and /bin/ps
- comparing the information gathered from /bin/ps with the one gathered
   from system calls (syscall scanning)
- full scan of the process ID space (PIDs bruteforcing)

unhide-tcp identifies TCP/UDP ports that are listening but are not listed in
/bin/netstat through brute forcing of all TCP/UDP ports available.

This package can be used by rkhunter in its daily scans.

NON FIDATEVI TROPPO DELL'INVULNERABILITÀ DI LINUX....

appena installato UBUNTU 8.10.

correttivi tmpfs sudo aggiornamenti etc.

installo rkhunter + unhide + chkrootkit

RISULTATO???
chkrootkit:
possible 4 (!) LKM TROJAN

unhide:
una CATERVA di "HIDDEN PIDs"

DOPO NEANCHE MEZZ'ORA DALL' INSTALLAZIONE..!!

..e questo sarebbe un sistema sicuro?

ALMENO NON ROMPETECI LE P***E colla inviolabilità di ubuntu...!!

ALMENO SIATE ONESTI..!!

SALUTI!!

- Un saluto a tutti,

- E da un po che osservo questo Topic, e mi chiedo di cosa state parlando.....
- Prima di installare certi programmi, almeno credo che bisognerebbe sapere di che cosa si sta parlando, di come funzionano e come interpretarli.
- Non mi dilungo, perché sarebbe come parlare in Italiano ad un Cinese (senza offesa) 
- E poi questi paragoni tra OS, sono già stati fatti, e i risultati parlano chiaro. (non perché lo diciamo Noi nel Forum).
- Quegli Hidden che vedi probabilmente sono lanciati da altri programmi, Java per esempio è uno di quelli.
Se vuoi puoi verificare così:

Codice: Seleziona tutto

ps -Af

- UBUNTU, è più sicuro, per un semplice motivo:
Forse ha più BUG di altri Sistemi, ma la differenza e che su Ubuntu è MOLTO improbabile riuscire ad USARLI.
Altri sistemi hanno meno BUG, ma quelli che hanno li riesci a sfruttare PIENAMENTE.

- La distribuzione "perfetta" non esiste, ognuno sceglie quella con cui si trova meglio, con i sui pregi e difetti.

Ciao Jano

Jano           _ ha scritto: Controlla se vedi qualcosa di strano:

Codice: Seleziona tutto

ps -Af

Codice: Seleziona tutto

ps -e

e poi vai nella directory dei pid per verificare:

Codice: Seleziona tutto

proc/18695

Ciao, Jano

fortran77 ha scritto: Al 99,9999999....99999% non hai nulla, solo falsi positivi.
Se però moderi i toni, ti dai una calmata e inizi a interagire costruttivamente sono disposto a darti una mano a capire cosa succede, altrimenti chiudo qui. Ciao.

michele300 ha scritto: la mia opinione è che...
..8.10 è pieno di bug/falle (essendo nuovo)
tra un pò vi saranno le patches di sicurezza,
intanto mi avranno sniffato "conto in banca, mail ,etc. etc."
-> ho riformattato e reinstallato 8.04 (+ sicuro..)

jubbaman ha scritto: A me puzza di troll...

Jano           _ ha scritto: Controlla se vedi qualcosa di strano:

Codice: Seleziona tutto

ps -Af

Codice: Seleziona tutto

ps -e

e poi vai nella directory dei pid per verificare:

Codice: Seleziona tutto

proc/18695

Ciao, Jano

jubbaman ha scritto: A me puzza di troll...

michele300 ha scritto:

jubbaman ha scritto: A me puzza di troll...

vorrei tanto che il sistema fosse sufficientemente sicuro

per non perdere tempo a leggere commenti del genere..

hai qualche suggerimento pratico al caso specifico?

fortran77 ha scritto: don't feed the troll