Rootkits
sempre più spesso si sente parlare di questi strani Rootkits,
ma cosa sono ?
Un rootkit è una collezione di tool che permette ad un cracker di
cancellare le proprie tracce e assicurarsi la possibilità di rientrare
sul sistema bucato, senza dover riutilizzare il buco di sicurezza con
cui originariamente ha preso possesso della macchina.
I rootkit
non servono per violare un sistema, vengono utilizzati solo quando è
stato già compromesso e nella gran parte dei casi possono essere
installati solo dall'utente root.
Generalmente un rootkit comprende:
- Un
network sniffer,
per registrare login e password utilizzate sulla o dalla macchina
violata, in modo da estendere il raggio d'azione dell'intrusore e la
qualità e quantità di informazioni in suo possesso;
- Un
keystroke logger, che registra quanto digitato dall'utente direttamente in console;
- Dei
log wipers, script che cancellano automaticamente le tracce dell'intrusione dai log di sistema;
- Versioni modificate (
trojans)
di comandi di sistema comunemente utilizzati che possono rivelare
l'esistenza del rootkit: ls, netstat, ifconfig, ps, killall, find, top.
- Una
backdoor
che accetta connessioni remote sia appoggiandosi ad una porta locale
(nascosta dal netstat modificato) che modificando le versioni sul
sistema di server telnet, ssh o analoghi.
Esistono diversi tipi di rootkit con diverse peculiarità.
Qui di seguito vi propongo un software che vi potrà aiutare nel rintracciare ed eliminare i rootkits dal vostro PC.
GMER is an application that detects rootkits .
GMER also allows to monitor the following
system functions:
GMER runs on Windows NT/W2K/XP
You can download GMER here