Se ... non acconsenti ad avviare strane procedure proposte dal tuo browser quando navighi, ed anzi installi su di esso plugins che le intercettano
beh, le vulnerabilità via browser che diano accesso ad esecuzione arbitraria di codice (condizione *necessaria* per installare un rootkit) sono veramente rarissime, direi trascurabili: il browser non gira con i diritti di root
invece quoto la considerazione sul buonsenso: è sempre la difesa più importante
il firewall serve *solo* se in rete locale hai dei servizi attivi (tipo ssh, cups, un server di posta, o tutto quello che trovi con "netstat -at |grep -i listen") che non vuoi che siano accessibili da internet: in quel caso la cosa più sensata è assicurarsi che quelle porte non siano aperte sul router (ma non dovrebbero, comunque per sapere i numeri delle porte usa "netstat -ant |grep -i listen")
per il resto sono d'accordo con bobo: antivirus e antispyware hanno senso solo per filtrare roba che poi va a finire su macchine windows, altrimenti sono _totalmente_inutili_
vi riporto un'esperienza personale: io una volta ho pigliato un virus per linux
in pratica, nel portatile, l'unica porta che ho aperta nel firewall è la 22 (ssh), che a volte mi torna comoda (almeno così pensavo: ora l'ho chiusa)
nel contempo, per facilitare l'accesso a chi occasionalmente si fosse trovato ad usare il mio computer (amici, parenti) ho creato un account guest (password: guest) già configurato in modo semplice, anche per evitare che mettessero le mani nel mio account
avendo fatto le due impostazioni in tempi molto diversi, non avevo considerato che l'account guest sarebbe stato disponibile anche via ssh (poi ho disabilitato l'accesso di guest via ssh, basta configurare sshd) e un virus che non saprei chiamare per nome ha indovinato utente e password e si è messo a fare un po' di casino:
- ha installato un po' di roba in /home/guest (ce l'ho ancora, se qualcuno è curioso)
- ha avviato un programma chiamato pscan2 (installato da lui) per trovare altri pc in rete da attaccare nello stesso modo
- ha avviato un server irc cammuffato da apache (ps lo mostrava come /usr/lib/httpd, mi sembra)
- ha installato un cronjob che riavvia il server irc ogni secondo
risultato: nel giro di 10-15 secondi ho notato il processore a palla, ho fatto un "top" e un "ps aux", visto pscan2 lanciato come utente guest, staccato il cavo di rete e controllato l'accaduto
il server irc l'ho visto solo qualche giorno più tardi, ma non poteva far danni, dal momento che il firewall non permetteva l'accesso dall'esterno
conclusioni:
- il virus ha sfruttato una mala configurazione, e tutto si poteva evitare con un po' di buonsenso in più
- non ha guadagnato i permessi di root (mala configurazione si, ma non esageriamo
) quindi non poteva nascondersi, e a causa del firewall non ha potuto fare tutto quello che avrebbe voluto
- ha fatto davvero poca strada, anche a causa del fatto che si è messo ad usare pesantemente le risorse del sistema: ho notato subito il processore a palla e dopo poco anche i continui cronjob
- fossi stato dietro al firewall di un router non sarebbe successo nulla
una curiosità:
il virus portava con se un elenco (piccolo) di host compromessi, con ip, utente e password per l'accesso via ssh: ce n'era uno con root:redhat
ciao
tindal
Marzo 02, 2006, 02:38:04 am
