Il 24/04/08, netman<[EMAIL PROTECTED]> ha scritto: > > Ciao, > come posso fare per verificare se una macchina ci fossero installate delle > backdor o altro ? >
Se come backdoor intendi le bindshell (ovvero i semplici socket in ascolto su una porta che alla connessione fanno un dup degli standard I/O e ti eseguono una shell) banalissimamente vai a controllare le porte in stato di LISTENING (attesa) sul sistema, ed il pid associato al processo. Questo nel caso di bindshell semplici, poiche' se andiamo ad agire a livello kernel, quindi parliamo di rootkit ben fatti, le cose si complicano un tantino. Se parli di backdoor come login inseriti tra la lista (passwd, shadow) allora ti basta, quando installi il sistema operativo, controllare l'hash dei file interrogati per il login (passwd e shadow su GNU/Linux). In ogni modo, ti consiglio una scansione con tool antirootkit, l'utilizzo di un buon firewall (iptables con le giuste regole e' ottimo, o una macchina openbsd ben configurata) ed il controllo periodico (ad esempio ad ogni riavvio in macchine client, con un crontab in macchine server) di manomissione dei file. Questo il linea di massima. Per controlli avanzati si ricorre ad altri metodi. Ciao! -- Salvo "drosophila" Fresta
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
