La perfetta installazione WordPress – Velocizzare

Giu30
by chitblog on 30 giugno 2018 at 23:10
Posted In: WordPress

1. Dare più memoria a WordPress

Per dar più memoria a WordPress – per eseguire gli script PHP – editare il file wp-config.php.

# vi wp-config.php

Poi aggiungere la seguente riga all’inizio del file.

define('WP_MEMORY_LIMIT', '128M');

In questo modo WordPress avrà più memoria a disposizione per eseguire gli script. Una cosa da tener conto è quanta memoria viene collocata a PHP sul server, se la memoria è inferiore a quella impostata in WordPress, si riceverà un errore (una pagina bianca).

2. Comprimere JavaScript ed eliminare eventuali risorse inutili

Per velocizzare WordPress è importante diminuire i requests (le risorse esterne che una pagina richiede) e comprimere (minify) gli script, i file CSS e i file HTML. Come prima cosa dare un occhiata al codice HTML ed eliminare tutto quello che non serve o che potrebbe rallentare e rendere insicura l’applicazione.

2.1 Eliminare gli script non usati

Con il mio tema WordPress mi carica tre script dal wp_head che servono per la corretta funzionalità di alcune funzioni incluse. Se non si usano queste funzioni si può tranquillamente rimuoverle.

<script type='text/javascript' src='../../wp-content/themes/temascelto/js/ddsmoothmenu.js'> 
<script type='text/javascript' src='../../wp-content/themes/temascelto/js/menubar.js'>
<script type='text/javascript' src='../../wp-content/themes/temascelto/js/googletranslate.js'>

Un altro problema in relazione al fare inserire automaticamente gli script da WordPress è che si trovano nella cartella “wp-content“, cosa che rivelerebbe il nome della cartella usata che è stato cambiato per motivi di sicurezza (vedi guida sulla sicurezza WordPress). Quindi nel caso si avesse bisogno di un qualche script creare per esempio una cartella “js”, spostare nel suo interno tutti gli script, rimuovere gli script dal file default-filter.php e infine aggiungere manualmente gli script nel file header.php o footer.php.

Per rimouovere gli script editare il file wp-includes/default-filters.php.

default-filters.php wp_head

Cancellare o commentare nella parte “Actions” i wp_head che finiscono con scripts come wp_enqueue_scripts, wp_print_footer_scripts, wp_print_head_scripts e wp_footer_scripts. Fatto ciò gli script non verranno più aggiunti e non ve ne sarà più alcuna traccia nel codice della pagina.

2.2 Comprimere i JavaScript

Nel caso si dovessero usare dei JavaScript comprimerli e, se possibile, creare un file solo che contiene il codice – per diminuire i requests – di più script in uno. Per fare ciò creare uno script che si chiama script.js e copiare il contenuto dei tre script in esso.

Per comprimere gli script visitare www.shrinker.ch, copiare ed incollare il testo contenuto nello script e cliccare su Shrink. Infine copiare il codice generato e inserirlo con un editore di testo nello script.

Una volta compressi gli script aggiungerli manualmente in header.php o footer.php vedi esempio sottostante.

<script type='text/javascript' src='https://christeninformatica.ch/js/script.js'>

3. Comprimere i file CSS

Ora comprimere tutti i file CSS e se possibile unire i diversi file in uno. Andare su www.shrinker.ch, copiare il testo del file CSS nella campo apposito e cliccare su “Shrink!”.

4. Installare WP-SUPER-CACHE

È anche molto importante per una buona performance di servire le pagine dalla cache così da diminuire gli accessi alla banca dati e l’esecuzione di script PHP. Per fare ciò usare un cache plugin come wp-super-cache.

Scaricare wp-super-cache su wp-super-cache e copiare il contenuto del zip nella cartella plugins. Una volta copiato wp-super-cache nella cartella apparirà sotto plugins installati in WordPress. Cliccare su attiva.

Ora andare alla pagina di amministrazione del plugin per attivare la funzione di caching. Nella scheda advanced settings mettere il visto nei seguenti quadratini:

  1. Utilizza mod_rewrite per servire i file in cache.
  2. Non servire pagine cache per gli utenti conosciuto (Raccomandato)
  3. Don’t cache pages with GET parameters. (?x=y at the end of a url)
  4. Rigenerazione cache. Serve un file supercache agli utenti anonimi quando un nuovo file é stato generato. (Raccomandato)
  5. Clear all cache files when a post or page is published or updated.
  6. Ricarica la sola pagina in uso quando vengono effettuati dei commenti.

Poi più in basso scegliere di cancellare la cache una volta al giorno e quando si pubblica un nuovo articolo o si effettua una modifica. Una volta fatto ciò premere su aggiorna stato.

Ora appare un messaggio che ci informa che le regole mod_rewrite devono essere aggiornate, se Apache può scrivere e il nome del file è .htaccess, il cambiamento avverrà automaticamente una volta cliccato su aggiorna, ma se per motivi di sicurezza il file è stato rinominato, editare il file e aggiungere le righe generate dal plugin. Le regole generate si trovano in fondo alla pagina nella sezione avanzate.

Ecco le regole rewrite da usare:

# BEGIN WPSuperCache

RewriteEngine On
RewriteBase /
#If you serve pages from behind a proxy you may want to change 'RewriteCond %{HTTPS} on' to something more sensible
AddDefaultCharset UTF-8
RewriteCond %{REQUEST_URI} !^.*[^/]$
RewriteCond %{REQUEST_URI} !^.*//.*$
RewriteCond %{REQUEST_METHOD} !POST
RewriteCond %{QUERY_STRING} !.*=.*
RewriteCond %{HTTP:Cookie} !^.*(comment_author_|wordpress_logged_in|wp-postpass_).*$
RewriteCond %{HTTP:X-Wap-Profile} !^[a-z0-9\"]+ [NC]
RewriteCond %{HTTP:Profile} !^[a-z0-9\"]+ [NC]
RewriteCond %{HTTP:Accept-Encoding} gzip
RewriteCond %{HTTPS} on
RewriteCond %{DOCUMENT_ROOT}/chitblog_contenuto/cache/supercache/%{SERVER_NAME}/$1/index-https.html.gz -f
RewriteRule ^(.*) "/chitblog_contenuto/cache/supercache/%{SERVER_NAME}/$1/index-https.html.gz" [L]

RewriteCond %{REQUEST_URI} !^.*[^/]$
RewriteCond %{REQUEST_URI} !^.*//.*$
RewriteCond %{REQUEST_METHOD} !POST
RewriteCond %{QUERY_STRING} !.*=.*
RewriteCond %{HTTP:Cookie} !^.*(comment_author_|wordpress_logged_in|wp-postpass_).*$
RewriteCond %{HTTP:X-Wap-Profile} !^[a-z0-9\"]+ [NC]
RewriteCond %{HTTP:Profile} !^[a-z0-9\"]+ [NC]
RewriteCond %{HTTP:Accept-Encoding} gzip
RewriteCond %{HTTPS} !on
RewriteCond %{DOCUMENT_ROOT}/chitblog_contenuto/cache/supercache/%{SERVER_NAME}/$1/index.html.gz -f
RewriteRule ^(.*) "/chitblog_contenuto/cache/supercache/%{SERVER_NAME}/$1/index.html.gz" [L]

RewriteCond %{REQUEST_URI} !^.*[^/]$
RewriteCond %{REQUEST_URI} !^.*//.*$
RewriteCond %{REQUEST_METHOD} !POST
RewriteCond %{QUERY_STRING} !.*=.*
RewriteCond %{HTTP:Cookie} !^.*(comment_author_|wordpress_logged_in|wp-postpass_).*$
RewriteCond %{HTTP:X-Wap-Profile} !^[a-z0-9\"]+ [NC]
RewriteCond %{HTTP:Profile} !^[a-z0-9\"]+ [NC]
RewriteCond %{HTTPS} on
RewriteCond %{DOCUMENT_ROOT}/chitblog_contenuto/cache/supercache/%{SERVER_NAME}/$1/index-https.html -f
RewriteRule ^(.*) "/chitblog_contenuto/cache/supercache/%{SERVER_NAME}/$1/index-https.html" [L]

RewriteCond %{REQUEST_URI} !^.*[^/]$
RewriteCond %{REQUEST_URI} !^.*//.*$
RewriteCond %{REQUEST_METHOD} !POST
RewriteCond %{QUERY_STRING} !.*=.*
RewriteCond %{HTTP:Cookie} !^.*(comment_author_|wordpress_logged_in|wp-postpass_).*$
RewriteCond %{HTTP:X-Wap-Profile} !^[a-z0-9\"]+ [NC]
RewriteCond %{HTTP:Profile} !^[a-z0-9\"]+ [NC]
RewriteCond %{HTTPS} !on
RewriteCond %{DOCUMENT_ROOT}/chitblog_contenuto/cache/supercache/%{SERVER_NAME}/$1/index.html -f
RewriteRule ^(.*) "/chitblog_contenuto/cache/supercache/%{SERVER_NAME}/$1/index.html" [L]

# END WPSuperCache

Copiare e incollare il primo pezzo senza i commenti e tutto quello che non serve nel file .htaccess.

Per il resto delle impostazioni usare il file httpd.conf.

<Directory /unacartella/chitblog/>
Options -ExecCGI -Indexes +FollowSymLinks -Includes
DirectoryIndex index.php /index.php
AllowOverride FileInfo
Order Allow,Deny
Allow from all
<FilesMatch "\.html\.gz$">
 ForceType text/html
 FileETag None
</FilesMatch>
AddEncoding gzip .gz
AddType text/html .gz
Header set Vary "Accept-Encoding, Cookie"
Header set Cache-Control 'max-age=3, must-revalidate'
SetEnvIfNoCase Request_URI \.gz$ no-gzip
ExpiresActive On
ExpiresByType text/html A3
</Directory>

Se si osserva il codice HTML in fondo alla pagina apparirà il seguente messaggio:

<!– Dynamic page generated in 0.278 seconds. –>
<!– Cached page generated by WP-Super-Cache on 2013-02-16 08:32:55 –>

Un ulteriore test possiamo effettuarlo usando il wp-supercache. Andare nella scheda “facile” del menu di wp-super-cache e testare la cache cliccando su “Test cache”. Aspettare un attimino e se si ottiene un risultato positivo abbiamo finito.

Con wp-supercache si ha la possibilità di installare dei plugins, un plugin molto utile è minify. Per installare il plugin aggiuntivo per wp-super-cache e attivarlo seguire i seguenti passi.

1.Download the current version and unzip. Move WPSCMin.php into the plugins subdirectory of WP Super Cache. If yours is a standard WordPress install, this will be wp-content/plugins/wp-super-cache/plugins/.

Scarica l’attuale versione del plugin: Minify. “Unzippa” e sposta il file WPSCMIN.php nella cartella wp-content/plugins/wp-super-cache/plugins/. Se si ha cambiato la cartella wp-content avrà un altro nome.

2.Download the current version of Minify and unzip. Move the min directory into the plugins subdirectory of WP Super Cache, right next to WPSCMin.php.

3.Log into your site, go to the WP Super Cache config page, and scroll to the bottom. Enable HTML Minify, and you’re done!

Una volta installato il plugin aggiuntivo apparirà nel submenu plugins di wp-super-cache, HTML Minify, selezionare Enabled e cliccare su update. Ora se guardiamo il codice della pagina vediamo che è tutto ordinato e non vi sono più spazi.

5. Laverage browser caching

Aggiungere il seguente codice nel file di configurazione di Apache (httpd.conf).

<filesMatch ".(ico|pdf|jpg|jpeg|png|gif|js|css)$">
   Header set Cache-Control "max-age=16000000, public"
</filesMatch>

6. Comprimere le immagini

Consiglio di impostare la grandezza e la posizione delle immagini nel file CSS e di ridurre eventualmente le dimensioni delle immagini se sono troppo larghe con un tool come per esempio Gimp o Photoshop.

Nel mio caso utilizzo le classi left e right con un larghezza di 310px e modifico le dimensioni delle immagini a 310px di larghezza, in caso contrario il server dovrebbe scaricare un file molto più grande del necessario per modificarne poi le dimensioni. Se volessi invece un immagine grande la larghezza del blog ne userei una di 730px di larghezza.

Per comprimere le immagini si potrebbe usare Photoshop, è facile, basta aggiungere l’immagine che si vuole comprime e poi nel menu “file” scegliere “Save for Web“.

Photoshop Save for Web

7. Enable compression

Un altra cosa da fare e comprimere i file serviti dal server, per ancora diminuire la dimensione dei dati che un client deve scaricare. Per fare ciò bisogna impostare max-age e attivare deflate. Aggiungere le seguenti righe nel file di configurazione di Apache (httpd.conf):

SetOutputFilter DEFLATE
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4\.0[678] no-gzip
BrowserMatch \bMSI[E] !no-gzip !gzip-only-text/html
SetEnvIfNoCase Request_URI \
\.(?:gif|jpe?g|png)$ no-gzip dont-vary

8. Specificare un Character Set

Aggiungere il seguente codice nel file di configurazione di Apache (httpd.conf):

AddDefaultCharset UTF-8

9. Test finale

Per testare la velocità usare il “Google Online Page Speed Test Insights“: Google Online Page Speed Test Insights. Inserire la URL del sito o blog che si vuole velocizzare e cliccare su analyze. Come si puoi vedere dall’immagine sottostante il mio blog ha ottenuto 93 punti su 100 che è già un buon punteggio.

Google Online Page Speed Test

Se testando il vosto blog o sito non doveste ottenere un buon risultato seguire le istruzioni del Page Speed Test insights di Google.

└ Tags: , , , , , , , , , , , , , ,
 Comment 

Port Scanning – Il prodigioso NSE di Nmap

Mag20
by chitblog on 20 maggio 2018 at 17:43
Posted In: Ethical Hacking / Penetration Testing, Sicurezza / Anonimato

Perfino un amministratore di sistema principiante avrà probabilmente già sentito parlare e avrà già usato un port scanner. Sicuramente avrà anche sentito parlare di Nmap, un port scanner molto usato e conosciuto, creato dal Progetto Nmap. Nmap sta per “Mapper di rete” (Networkmapper) e oltre ad essere super rapido, sofisticato ed efficiente, ha molte funzioni.

Tra le sue molte funzionalità è in grado di rilevare il sistema operativo di un server remoto, testare la sicurezza sia di server locali che remoti e creare un inventario dei server e dei servizi attivi in una rete.

Può essere che hai già usato Nmap per fare un semplice port scan nel passato ma è molto improbabile che tu abbia realizzato che Nmap è uno strumento molto potente per testare la sicurezza. Questo è dovuto in parte ai sofisticati script aggiuntivi incorporati. Prima di dare un occhiata a questi script aggiuntivi è meglio fare una breve ripetizione sulle funzionalità di base di Nmap. In questo modo apprenderai che Nmap può essere usato per attività White Hat avanzate.

Le basi del port scanning con Nmap

Anche le funzioni di base (port scanning) di Nmap includono opzioni avanzate come l’IP Spoofing (usando l’opzione -S). Una magnifica selezione di funzionalità è disponibile.

Cosa ne dite di “chiedere” a Nmap di eseguire un semplice port scan su un server? Vediamo ora di effettuare una scansione di base con Nmap su uno specifico indirizzo IP. In questo esempio viene usata l’opzione “-PN” in modo da escludere un ping test.

# nmap -PN 123.123.123.123

Il risultato sarà qualcosa del genere:

Starting Nmap 5.51 ( http://nmap.org ) at 2016-11-16 11:16 GMT Nmap scan report for www.chrisbinnie.tld (123.123.123.123) 
Host is up (0.00051s latency).
Not shown: 999 closed ports
PORT	STATE   SERVICE
22/tcp	open	ssh
Nmap done: 1 IP address (1 host up) scanned in 0.09 seconds

Come si può osservare dal risultato della scansione, il Nmap ha testato 999 porte – quelle di default – senza controllare le altre porte rilevando una porta aperta, la 22, SSHD.

Come si può vedere dall’esempio sottostante Nmap è in grado di scansionare intere reti.

# nmap -PN 123.123.123.0/24

Aggiungendo l’opzione “-n” si possono disabilitare i “DNS lookups” in modo da aumentare la velocità e da evitare di venire scoperti da un DNS server.

Se si è interessati a TCP allora ci si può connettere a porte TCP usando Nmap come segue:

# nmap -sT www.chrisbinnie.tld

Se si ha di bisogno di connettersi a porte UDP usare l’opzione “-sU” invece che “-sT”.

Come detto in precedenza, ci sono moltissime opzioni ma al momento, prima di passare al meglio, ecco alcune altre opzioni che ritengo siano molto utili.

Per esempio, se si sta effettuando un “port/ip scan” nella propria rete locale ma si vogliono escludere alcuni host, si può fare uso dell’opzione “exclude file” (escludere file) in questo modo:

# nmap 10.10.10.0/24 --excludefile /home/chrisbinnie/exclusions.txt

Se i server da escludere durante lo scan sono pochi opterei per la seguente sintassi:

# nmap 10.10.10.0/24 --exclude 10.10.10.1,10.10.10.10,10.10.10.100

Per controllare solo specifiche porte usare la “U” per UDP e la T per TCP come segue:

# nmap -p U:53,T:0-1024,8080 10.10.10.111

E infine, se si vuole controllare quali server sono raggiungibili nella propria rete locale, il comando che fa per noi è il seguente (usa “discovery” o un ping scan, l’opzione “-sP”):

# nmap -sP 10.10.10.0/24

Come risultato si potrebbe ottenere un output simile a questo:

Nmap scan report for mail.chrisbinnie.tld (10.10.10.10) Host is up (0.028s latency).
Nmap scan report for smtp.chrisbinnie.tld (10.10.10.11) Host is up (0.029s latency).

L’output di questo comando sarà un host per riga.

Lo Scripting Engine di Nmap (NSE)

Nmap offre una serie di funzioni estremamente sofisticate. Queste funzionalità aggiuntive vengono chiamate NSE (Nmap Scripting Engine). Ora daremo un occhiata ad alcuni soggetti trattati nella documentazione di Nmap indicando quando usare quale funzionalità aggiuntiva.

Lo straordinario NSE fu creato tenendo in mente qualche funzione base. Queste funzioni includono network discovery usando il port scan, un metodo avanzato per rilevare i servizi in uso usando una varietà di “signatures” predefinite, testare le vulnerabilità – e “exploitarle” – e infine un metodo per rilevare delle backdoor.

Il punto forte di NSE è la sua versatilità e estende questa qualità offrendo in aggiunta, come si può capire dal nome, la possibilità di creare nuovi script che possono venire scritti da chiunque usando la lingua di programmazione “Lua”. Per usare NSE dalla linea di comando eseguire Nmap con l’opzione “–script” o in alternativa l’opzione “-sC”.

Quelli che seguono sono due esempi di port scanning effettuarti con Nmap. Il primo senza usare NSE e il secondo esempio facendone uso. Questi esempi sono utili perché danno la possibilità di potere osservare la differenza tra i due risultati. Nell’esempio sottostante si può notare il risultato del primo comando senza usare NSE. I comandi vengono eseguiti in questo esempio da un utente normale, non root.

$ nmap -p0-1024 -T4 localhost
Starting Nmap 5.51 ( http://nmap.org ) at 2016-11-16 11:16 GMT Nmap scan report for localhost (127.0.0.1)
Host is up (0.00049s latency). Not shown: 1021 closed ports
PORT	STATE SERVICE
22/tcp  open  ssh 
25/tcp  open  smtp 
80/tcp  open  http 
111/tcp open rpcbind
Nmap done: 1 IP address (1 host up) scanned in 0.11 seconds

Nel prossimo esempio invece, si può notare che NSE viene usato cosa che aggiunge diverse informazioni aggiuntive al risultato.

$ nmap -sC -p0-1024 -T4 localhost
Starting Nmap 5.51 ( http://nmap.org ) at 2016-11-16 11:16 GMT Nmap scan report for localhost (127.0.0.1)
Host is up (0.00054s latency). Not shown: 1021 closed ports 
PORT	STATE SERVICE
22/tcp  open  ssh
| ssh-hostkey: 1024 d7:46:46:2d:fc:ad:9e:c7:25:d3:a1:96:45:4f:59:d9 (DSA)
|_2048 80:f2:29:c0:ee:a1:80:99:2e:7f:26:c3:b1:2d:c4:37 (RSA)
25/tcp  open  smtp 
80/tcp  open  http
| http-methods: Potentially risky methods: TRACE
|_See http://nmap.org/nsedoc/scripts/http-methods.html
|_http-title: Site doesn't have a title (text/html; charset=UTF-8). 
111/tcp open  rpcbind
Nmap done: 1 IP address (1 host up) scanned in 0.16 seconds

Come si può notare dall’output, nel secondo comando che usa NSE si possono trovare informazioni in più. Con NSE vengono mostrate anche delle URLs utili per fare ricerche riguardo al risultato ottenuto, vengono mostrati più dettagli (come per esempio la SSH host key) e anche commenti riguardo al fatto che Nmap crede che il codice HTML non sia valido.

I Timing Templates di Nmap

Nel precedente esempio abbiamo richiesto informazioni riguardo le porte 0-1024 (le porte privilegiate, raw, o porte superuser in sistemi Unix o Unix-like) usando l’opzione “-p0-1024”. L’opzione “-T4” non è una sorta di timeout in cui si aspettano 4 secondi, è un metodo in cui si usano dei “time templates” di NSE. Più è alto il numero e più Nmap scansiona in modo veloce, i valori variano da 0 a 5. I valori del “timing template” sono molto importanti e fanno anche una differenza per quanto riguarda il proprio “benessere emotivo”. Questi valori da 0 a 5 stanno per: paranoico (paranoid), subdolo (sneaky), corretto (polite), normale (normal), aggressivo (aggressive) e malsano (insane). Le parole – in inglese – possono venire anche usate come opzione al posto dei numeri se per qualcuno è più comodo e facile da ricordare.

Per via del fatto che con Nmap NSE si hanno a disposizione moltissime funzionalità aggiuntive, i programmatori si sono resi conto che gli utenti si sarebbero potuti “perdere” in tutta quella complessità e così hanno creato dei templates molto utili. La ragione principale per la quale i templates sono così importanti da usare con Nmap, è che se si usa NSE per analizzare molti host alla volta o una grande rete, il processo di scansione può metterci molto tempo per finire. È anche possibile di trovare pochissime informazioni (per via di firewalls configurati come si deve) investendo molto tempo.

Quali differenze esistono nei vari templates ci si può chiedere? Entrambi, il template paranoid e il template sneaky, offrono un certo livello di sicurezza per quanto riguarda l’evitare di venire scoperti da un “intrusion detection system” (IDS).

Il template polite rallenta il port scanner in modo da limitare la banda usata ad entrambi le parti della connessione come anche le risorse del server preso di mira. L’opzione “-T3” non apporta nessun cambiamento per via del fatto che viene usata di default. Il template aggressive che abbiamo usato nel precedente esempio usando l’opzione “-T4” velocizza il processo di scan e testa una rete con molta banda in modo più rigoroso. L’ultimo template, insane, assume che si è contenti del fatto di metterci meno tempo a scapito dell’accuratezza. Per usare questo template bisogna avere una connessione veloce e stabile.

Le categorie di script di Nmap NSE

Nonostante l’utilizzo di un mezzo altamente sofisticato, NSE è stato progettato in modo tale che persino un utente novizio è in grado di capire come usarlo con relativa facilità. È quindi possibile iniziare ad usare NSE in modo rapido e senza il bisogno di avere studiato la cosa in anticipo.

È utile sapere in che modo NSE fa riferimento ai diversi script che utilizza. Quando si esegue uno script tramite NSE viene eseguita una scansione delle porte prima o durante la sua esecuzione al fine di verificarne lo stato della disponibilità di rete di un server remoto. Esistono anche altre somiglianze tra i molti script NSE come per esempio i DNS lookup e i traceroute.

CategoriaDescrizione
authQuesti script analizzano i metodi di autenticazione e cercano possibili modi per bypassarli – per esempio X11-access, ftp-anon e oracle-enum-users. La categoria brute serve per testare le password con un attacco brute force.
BroadcastSe si ha bisogno di inviare pacchetti via broadcast nella rete locale, usare questi script.
brutePer testare la sicurezza delle password di un server remoto con attacchi di tipo brute force usare questa collezione di script. Ce ne sono tanti per i diversi protocolli.
DefaultGli script default vengono eseguiti usando l’opzione “-sC” o “-A”. Per usare altri script non default usare l’opzione “–script=”.
DiscoveryPer controllare chi e cosa è connesso a una rete usare questi script. Si tratta di esaminare per esempio registri pubblici (public registries), dispositivi con SNMP attivato e “directory services”.
DosSe si vuole testare se si è vulnerabili ad attacchi di tipo DOS o (fare attenzione) eseguire script che sono in grado di far “crashare” servizi, questi script fanno al caso giusto.
ExploitQuesti script servono per testare degli exploits.
ExternalFare attenzione ad eseguire questi script visto che le proprie azioni verranno notate da terze parti. Questo perché questi script eseguono dei WHOIS Lookup cosa visibile al servizio WHOIS.
fuzzerQuesti script testano i bug e le falle nella sicurezza dei programmi. Ci mettono molto di più rispetto ad altre tecniche per trovare informazioni interessanti o rendere un server non raggiungibile.
IntrusiveQuesti script sono molto rischiosi da usare. Alcuni dei rischi includono crash, saturazione di banda e venire scoperti dall’amministratore del server preso di mira.
MalwareI malware conosciuti lasciano tracce nel sistema come delle backdoor e altri segni. Questi script controllano porte aperte e servizi sospetti per determinare se si è infetti.
SafeQuesti script non offendono l’amministratore del sistema preso di mira. Nonostante questo non si dovrebbe contare completamente sul fatto che non causino problemi.
VersionQuesti script sono un estensione della funzione di NSE che serve per rilevare la versione in uso. Per usare questi script usare l’opzione “-sV”.
VulnSe vengono trovate delle vulnerabilità si riceve un avvertimento.

Trovare falle nella sicurezza con Nmap

Ora che abbiamo dato un occhiata alle categorie di script NSE di Nmap iniziamo con l’effettuare un penetration test utilizzando il sapere appena acquisito e il vasto numero di script che vengono forniti con Nmap.

Effettuare un test delle vulnerabilità sul server locale come segue:

# nmap --script vuln localhost
Starting Nmap 5.51 ( http://nmap.org ) at 2016-11-16 11:16 GMT Nmap scan report for localhost (127.0.0.1)
Host is up (0.00090s latency). Not shown: 996 closed ports 
PORT	STATE  SERVICE
22/tcp  open   ssh 
25/tcp  open   smtp 
80/tcp  open   http
| http-enum:
|_ /icons/: Potentially interesting folder w/ directory listing 111/tcp open rpcbind
Nmap done: 1 IP address (1 host up) scanned in 1.18 seconds

Il risultato ha immediatamente attirato la mia attenzione quando ho visto “Potentially interesting folder” per il servizio RPC. Chiaro, è probabile che l’accesso alla cartella /icons/ è permesso solo da locale ma dare comunque un occhiata (e anche urgentemente). Si potrebbe bloccare la porta TCP 111 con un firewall o disabilitare il servizio per rimediare al problema a meno che non si configuri RPC in modo da limitarne l’accesso.

Se NSE identifica una vulnerabilità conosciuta mostra nell’output informazioni come una patch ID per un server Windows o qualche URL utile in modo da potere fare ricerche a riguardo. Questo ci può in alcuni casi fare risparmiare del tempo visto che non si devono cercare gli exploits online. Ci sono buone probabilità che se NSE trova qualcosa non si tratta di un falso allarme visto che differenti test sono stati effettuati per arrivare a tale conclusione, e al contrario di certi altri programmi, bisognerebbe prendere gli avvertimenti sul serio e effettuare dei controlli.

La categoria NSE discovery di Nmap

Considera di utilizzare il seguente commando per ottenere maggiori informazioni su un host.

# nmap --script discovery localhost
Starting Nmap 5.51 ( http://nmap.org ) at 2016-11-16 11:16 GMT Nmap scan report for localhost (127.0.0.1)
Host is up (0.00070s latency). Not shown: 996 closed ports 
PORT	STATE SERVICE
22/tcp  open  ssh
|_banner: SSH-2.0-OpenSSH_5.3
| ssh-hostkey: 1024 d7:46:46:2d:fc:ad:9e:c7:25:d3:a1:96:45:4f:59:d9 (DSA)
|_2048 80:f2:29:c0:ee:a1:80:99:2e:7f:26:c3:b1:2d:c4:37 (RSA)
25/tcp  open  smtp
|_banner: 220 mail.chrisbinnie.tld ESMTP Postfix
| smtp-enum-users:
|	root
|	admin
|_ Method RCPT returned a unhandled status code.
|_smtp-open-relay: Server is an open relay (16/16 tests) 80/tcp open http
| http-headers:
|	Date: Mon, 16 Nov 2015 11:37:52 GMT
|	Server: Apache/2.2.15 (Red Hat)
|	Last-Modified: Mon, 15 Jun 2015 13:57:09 GMT
|	ETag: "4bc-61-5188ed5743e6a"
|	Accept-Ranges: bytes
|	Content-Length: 97
|	Connection: close
|	Content-Type: text/html; charset=UTF-8
|
|_ (Request type: HEAD)
|_http-title: Site doesn't have a title (text/html; charset=UTF-8).
|_http-date: Mon, 16 Nov 2015 11:37:52 GMT; 0s from local time.
| http-vhosts:
|_393 names had status 200
| http-enum:
|_ /icons/: Potentially interesting folder w/ directory listing
111/tcp open  rpcbind
| rpcinfo:
|	100000 2,3,4	111/tcp rpcbind
|_ 100000 2,3,4	111/udp rpcbind
Nmap done: 1 IP address (1 host up) scanned in 11.51 seconds

Come si può vedere dall’output del comando, usando discovery vengono mostrate diverse informazioni come gli HTTP headers, i banner SMTP, rcpinfo e altro. Anche se l’errore SMTP “Server is an open relay (16/16 tests)” è molto probabilmente un falso positivo (false positive), vale comunque la pena di controllare per esserne sicuri.

Con tutte queste funzionalità questa modalità è estremamente utile e rappresenta la parte chiave di NSE. Dopo tutto si può “exploitare” servizi senza essere a conoscenza della loro esistenza. Osservando i risultati generati da NSE è facile constatare che quando si tratta di scoprire servizi e server le informazioni ottenute sono molto utili. NSE non ti bombarda di dettagli, ti fornisce comunque abbastanza informazioni per essere estremamente utile.

L’impatto negativo che si può avere usando le categorie di script è che la performance viene ridotta se si usano tutti gli script di una categoria.

Nmap NSE – Espressioni regolari

Con NSE si possono usare le espressioni regolari (regular expressions). Per esempio ho menzionato i 15 script HTTP, per utilizzarli tutti assieme eseguire il seguente comando:

# nmap --script "http-*"

Si possono usare anche le decisioni booleane come segue:

# nmap --script "default or safe"

Nella documentazione si possono trovare anche esempi più complessi:

# nmap --script "(default or safe or intrusive) and not http-*"

In questo esempio vengono usate le categorie default, safe o intrusive ma non quelle che hanno a che fare con i web server.

Zenmap – Nmap con interfaccia grafica

Zenmap, la versione con interfaccia grafica di Nmap
Ci sono circostanze, specialmente se si ha a che fare con molti “target” (obbiettivi) in differenti reti, in cui si ha bisogno di aiuto per quanto riguarda l’analizzare i risultati. Immagina di essere in grado di aggiungere i risultati delle varie scansioni in una banca dati in modo da poterle analizzare e comparare tra di loro.

A questo scopo si può usare Zenmap (https://nmap.org/zenmap/). La versione ufficiale GUI dello scanner Nmap, il ben progettato Zenmap, è free e appropriato per utenti di ogni livello. Zenmap ha un generatore di comandi per assistere l’utente nel creare comandi complessi e ha anche l’abilità di poter fare ricerche riguardo alle scansioni effettuate in passato usando un database. È anche possibile crearsi un profilo per i comandi più comuni in modo da non doverli inserire ogni volta.

Questo programma con una molto utile interfaccia grafica e disponibile per Linux, BSD, Mac OS, e Windows.

Per utenti che eseguono delle scansioni frequentemente e qualunque novizio, Zenmap è il tool perfetto.

Fonte: Linux Server Security – Hack and Defend by Chris Binnie

Traduzione: christeninformatica.ch

└ Tags: , , , , , , , , , , , , , ,
 Comment 

Sicurezza SUSE Linux Server – Rilevare intrusioni con AIDE

Apr05
by chitblog on 5 aprile 2018 at 19:50
Posted In: LINUX SERVER, Sicurezza / Anonimato

La sicurezza del sistema è un compito obbligatorio per qualsiasi amministratore. Poiché è quasi impossibile garantire che il sistema non venga compromesso, è molto importante eseguire controlli regolarmente (ad esempio usando cron) per assicurarsi che sia – il sistema – ancora sotto il proprio controllo. Ed è qui che entra in gioco AIDE, l’Advanced Intrusion Detection Environment.

Perché usare AIDE

Un semplice controllo in grado di rilevare modifiche indesiderate può essere fatto tramite RPM. Il gestore di pacchetti ha una funzione di verifica integrata che controlla tutti i file gestiti nel sistema per vedere se sono state effettuate delle modifiche. Per verificare i file eseguire il comando rpm -Va. Tuttavia, questo comando mostrerà anche le modifiche nei file di configurazione e sarà necessario creare alcuni filtri per rilevare importanti cambiamenti.

Un ulteriore problema riguardo all’usare RPM per tale scopo è che un utente malintenzionato intelligente sarà in grado di modificare l’rpm in modo da nascondere eventuali modifiche che potrebbero essere state apportate da un rootkit. Un rootkit è un programma che consente a un utente malintenzionato di mascherare la sua intrusione e ottenere privilegi da root. Per risolvere questo problema è necessario implementare un controllo secondario che può anche essere eseguito in modo completamente indipendente dal sistema installato.

Installazione AIDE

AIDE non è installato di default su SUSE Linux Enterprise Server. Per installare AIDE utilizzare il software di installazione Yast o eseguire il seguente commando da root:

# zypper install aide

Esempi di configurazione AIDE

Per comunicare a AIDE (Advanced Intrusion Detection Environment) quali attributi di quali file devono essere controllati, utilizzare il file di configurazione /etc/aide.conf. Questo file deve in alcuni casi venire modificato per rispondere ai requisiti della configurazione in uso. La prima sezione gestisce i parametri generali come la posizione del database di AIDE. Le configurazioni locali più rilevanti sono le regole personalizzate e le sezioni Directory e File.

Quello che segue è un esempio di una tipica regola:

Binlib	= p+i+n+u+g+s+b+m+c+md5+sha1

Dopo aver definito la variabile Binlib, le rispettive caselle di controllo vengono utilizzate nella sezione file.

Lista delle opzioni più importanti:

OpzioneDescrizione
pControlla i permessi di file o cartelle selezionate.
iFa un controllo del numero inode. Ogni file ha un unico numero inode che non dovrebbe cambiare.
nControlla quanti links puntano a un file.
uControlla se il proprietario di un file è cambiato.
gControlla se il gruppo di un file è cambiato.
sControlla se le dimensioni di un file sono cambiate.
bControlla se il “block count” usato dal file è cambiato.
mControlla se la data di modifica (mtime) di un file è cambiata.
cControlla se la data di accesso (atime) di un file è cambiata.

Quello che segue è un esempio di configurazione in cui AIDE controlla ogni file nella cartella /sbin con le opzioni definite in Binlib omettendo pero dal controllo la cartella /sbin/conf.d/.

/sbin	Binlib
!/sbin/conf.d

Creare un database AIDE

1. Editare il file di configurazione di AIDE (/etc/aide.conf) e apportare delle modifiche se necessario. Per ulteriori informazioni e una lista completa di opzioni dare un occhiata al manuale AIDE: /usr/share/doc/packages/aide/manual.html.
2. Controllare se le modifiche apportate al file di configurazione di AIDE sono corrette con il seguente comando:

# aide --config-check

Se ci sono degli errori di sintassi o altro nel file di configurazione si riceverà un messaggio di errore del genere:

aide --config-check 35:syntax error:!
35:Error while reading configuration:! Configuration error

3. Inizializzare il database di AIDE con il seguente comando:

# aide -i

4. Copiare il database (/var/lib/aide/aide.db.new) in un posto sicuro come un CD/DVD, un Server remoto o un USB stick. Importante: Questo passo è importante per assicurarsi che il database AIDE non venga compromesso. È consigliato di salvare una copia del database su un CD/DVD – in modo che può venire scritto solo una volta e non più venire modificato – per evitare che il database di AIDE venga modificato. Non lasciare il database sul computer che si vuole monitorare.

Effettuare un controllo locale con AIDE

1. Rinominare il database di AIDE con il seguente comando:

# mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db

Dopo ogni cambiamento di configurazione bisogna inizializzare nuovamente il database e rinominarlo come sopra. È consigliato di fare un backup del database.
2. Avviare un controllo del sistema con il seguente comando:

# aide --check
#

Se il comando viene eseguito senza dare un output vuole dire che è tutto a posto. Se invece AIDE rileva dei cambiamenti mostra un sommario vedi esempio sottostante:

# aide --check
AIDE found differences between database and filesystem!!

Summary:
  Total number of files:        1992
  Added files:                  0
  Removed files:                0
  Changed files:                1
#

Per ottenere più informazioni aggiungere -V.

# aide --check -V
AIDE found differences between database and filesystem!!
Start timestamp: 2018-02-18 15:14:10

Summary:
  Total number of files:        1992
  Added files:                  0
  Removed files:                0
  Changed files:                1


---------------------------------------------------
Changed files:
---------------------------------------------------

changed: /etc/passwd

--------------------------------------------------
Detailed information about changes:
---------------------------------------------------


File: /etc/passwd
  Mtime    : 2018-02-18 15:11:02              , 2018-02-18 15:11:47
  Ctime    : 2018-02-18 15:11:02              , 2018-02-18 15:11:47
#

Fonte: Security Guide – SUSE Linux Enterprise Server 12 SP3

└ Tags: , , , , , , , , , , ,
 Comment 

Sicurezza Linux Server – Installare e usare Rootkit Hunter

Mar31
by chitblog on 31 marzo 2018 at 11:43
Posted In: LINUX SERVER, Sicurezza / Anonimato

Cos’è Rootkit Hunter ( rkhunter )

Rootkit Hunter ( rkhunter ) è uno shell script che scanna sistemi operativi Linux alla ricerca di rootkits, cavalli di troia e altri rischi per la sicurezza.

Alcune altre funzioni di Rootkit Hunter sono:

  • Controllare i file di configurazione di SSHD per poi dare un avvertimento se le impostazioni non sono sicure
  • Comparare le MD5 hashes
  • Controllare se ci sono stringe di commando sospette nei moduli del Kernel
  • Controllare se i file binari hanno permessi sbagliati
  • Cercare file e cartelle nascoste nel sistema

Un rootkit è un programma installato all’insaputa dell’utente o dell’amministratore su un computer o un server che permette a chi l’ha installato di avere un accesso di tipo privilegiato. Il nome rootkit è formato da due parole, root, che è l’amministratore nei sistemi Unix e Linux, e kit. Con un rootkit un “attacker” può “aprirsi” una backdoor nel sistema compromesso cosa che gli permette di installare programmi, creare degli user account, cambiare le configurazioni del sistema, rubare dati, monitorare le attività degli utenti, cancellare file o intere cartelle e altro.

Cosa fare se si trovano dei Rootkits

Diversi esperti sulla sicurezza affermano che una volta che un sistema è stato compromesso con un rootkit, è consigliato di fare un rebuild del sistema. Il problema è che anche nel caso si sia in grado di rilevare ogni file o processo associato con il rootkit, è moto difficile essere al 100% sicuri di avere eliminato ogni parte del rootkit. Rootkit Hunter ( rkhunter ) non è un Antivirus serve per capire se il proprio sistema è stato compromesso per poi adottare delle misure.

Installazione Rootkit Hunter

# apt install rkhunter 	   [On Debian/Ubuntu]
# yum install rkhunter	   [On RHEL/CentOS] 	
# dnf install rkhunter	   [On Fedora 22+]
# zypper install rkhunter  [On openSUSE]

Fare un update di Rootkit Hunter

Eseguire il Rootkit Hunter updater per riempire la banca dati con i seguenti comandi.

chit-server:/ # rkhunter --update
[ Rootkit Hunter version 1.4.4 ]

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ No update ]
  Checking file programs_bad.dat                             [ No update ]
  Checking file backdoorports.dat                            [ No update ]
  Checking file suspscan.dat                                 [ No update ]
  Checking file i18n/cn                                      [ No update ]
  Checking file i18n/de                                      [ No update ]
  Checking file i18n/en                                      [ Updated ]
  Checking file i18n/tr                                      [ Updated ]
  Checking file i18n/tr.utf8                                 [ Updated ]
  Checking file i18n/zh                                      [ No update ]
  Checking file i18n/zh.utf8                                 [ No update ]
  Checking file i18n/ja                                      [ No update ]
chit-server:/local #

chit-server:/ # rkhunter --propupd
[ Rootkit Hunter version 1.4.4 ]
File created: searched for 175 files, found 196
chit-server:/ #

Scannare il sistema con Rootkit Hunter

Eseguire il seguente comando per avviare lo scanner manualmente.

chit-server:/ # rkhunter --check
[ Rootkit Hunter version 1.4.4 ]

Checking system commands...

  Performing 'strings' command checks
    Checking 'strings' command                               [ OK ]

  Performing 'shared libraries' checks
    Checking for preloading variables                        [ None found ]
    Checking for preloaded libraries                         [ None found ]
    Checking LD_LIBRARY_PATH variable                        [ Not found ]

  Performing file properties checks
    Checking for prerequisites                               [ OK ]
    /usr/bin/awk                                             [ OK ]
    /usr/bin/basename                                        [ OK ]
    /usr/bin/cat                                             [ OK ]
    /usr/bin/chattr                                          [ OK ]
    /usr/bin/chkconfig                                       [ OK ]
    /usr/bin/chmod                                           [ OK ]
    /usr/bin/chown                                           [ OK ]
    /usr/bin/chroot                                          [ OK ]
    /usr/bin/cp                                              [ OK ]
    /usr/bin/csh                                             [ OK ]
    /usr/bin/curl                                            [ OK ]
    /usr/bin/cut                                             [ OK ]
    /usr/bin/date                                            [ OK ]
    /usr/bin/df                                              [ OK ]
    /usr/bin/diff                                            [ OK ]
    /usr/bin/dirname                                         [ OK ]
    /usr/bin/dmesg                                           [ OK ]                                                                                                                             
    /usr/bin/du                                              [ OK ]                                                                                                                             
    /usr/bin/echo                                            [ OK ]                                                                                                                             
    /usr/bin/ed                                              [ OK ]                                                                                                                             
    /usr/bin/egrep                                           [ OK ]                                                                                                                             
    /usr/bin/env                                             [ OK ]                                                                                                                             
    /usr/bin/fgrep                                           [ OK ]                                                                                                                             
    /usr/bin/file                                            [ OK ]                                                                                                                             
    /usr/bin/find                                            [ OK ]                                                                                                                             
    /usr/bin/grep                                            [ OK ]                                                                                                                             
    /usr/bin/groups                                          [ OK ]                                                                                                                             
    /usr/bin/head                                            [ OK ]                                                                                                                             
    /usr/bin/id                                              [ OK ]                                                                                                                             
    /usr/bin/ipcs                                            [ OK ]                                                                                                                             
    /usr/bin/kill                                            [ OK ]                                                                                                                             
    /usr/bin/killall                                         [ OK ]                                                                                                                             
    /usr/bin/last                                            [ OK ]                                                                                                                             
    /usr/bin/lastlog                                         [ OK ]                                                                                                                             
    /usr/bin/ldd                                             [ OK ]                                                                                                                             
    /usr/bin/less                                            [ OK ]                                                                                                                             
    /usr/bin/logger                                          [ OK ]                                                                                                                             
    /usr/bin/ls                                              [ OK ]                                                                                                                             
    /usr/bin/lsattr                                          [ OK ]                                                                                                                             
    /usr/bin/lsmod                                           [ OK ]                                                                                                                             
    /usr/bin/lsof                                            [ OK ]
    /usr/bin/mail                                            [ OK ]
    /usr/bin/md5sum                                          [ OK ]
    /usr/bin/mktemp                                          [ OK ]
    /usr/bin/more                                            [ OK ]
    /usr/bin/mount                                           [ OK ]
    /usr/bin/mv                                              [ OK ]
    /usr/bin/newgrp                                          [ OK ]
    /usr/bin/passwd                                          [ OK ]
    /usr/bin/perl                                            [ OK ]
    /usr/bin/pgrep                                           [ OK ]
    /usr/bin/ping                                            [ OK ]
    /usr/bin/pkill                                           [ OK ]
    /usr/bin/ps                                              [ OK ]
    /usr/bin/pstree                                          [ OK ]
    /usr/bin/pwd                                             [ OK ]
.........................................................................
    /bin/ls                                                  [ OK ]
    /bin/lsmod                                               [ OK ]
    /bin/mail                                                [ OK ]
    /bin/md5sum                                              [ OK ]
    /bin/mktemp                                              [ OK ]
    /bin/more                                                [ OK ]
    /bin/mount                                               [ OK ]
    /bin/mv                                                  [ OK ]
    /bin/netstat                                             [ OK ]
    /bin/pgrep                                               [ OK ]
    /bin/ping                                                [ OK ]
    /bin/pkill                                               [ OK ]
    /bin/ps                                                  [ OK ]
    /bin/pwd                                                 [ OK ]
    /bin/readlink                                            [ OK ]
    /bin/rpm                                                 [ OK ]
    /bin/sed                                                 [ OK ]
    /bin/sh                                                  [ OK ]
    /bin/sort                                                [ OK ]
    /bin/stat                                                [ OK ]
    /bin/su                                                  [ OK ]
    /bin/touch                                               [ OK ]
    /bin/uname                                               [ OK ]
    /bin/gawk                                                [ OK ]
    /bin/tcsh                                                [ OK ]
    /bin/kmod                                                [ OK ]
    /bin/systemd                                             [ OK ]
    /bin/systemctl                                           [ OK ]
    /usr/lib/systemd/systemd                                 [ OK ]
    /etc/rkhunter.conf                                       [ OK ]
    /etc/rkhunter.d/00-opensuse.conf                         [ OK ]

Checking for rootkits...                                                                                                                                                                                                                                                       
                                                                                                                                                                                                                                                                               
  Performing check of known rootkit files and directories                                                                                                                                                                                                                      
    55808 Trojan - Variant A                                 [ Not found ]
    ADM Worm                                                 [ Not found ]
    AjaKit Rootkit                                           [ Not found ]
    Adore Rootkit                                            [ Not found ]
    aPa Kit                                                  [ Not found ]
    Apache Worm                                              [ Not found ]
    Ambient (ark) Rootkit                                    [ Not found ]
    Balaur Rootkit                                           [ Not found ]
    BeastKit Rootkit                                         [ Not found ]
    beX2 Rootkit                                             [ Not found ]
    BOBKit Rootkit                                           [ Not found ]
    cb Rootkit                                               [ Not found ]
    CiNIK Worm (Slapper.B variant)                           [ Not found ]
    Danny-Boy's Abuse Kit                                    [ Not found ]
    Devil RootKit                                            [ Not found ]
    Dica-Kit Rootkit                                         [ Not found ]
    Dreams Rootkit                                           [ Not found ]
    Duarawkz Rootkit                                         [ Not found ]
    Enye LKM                                                 [ Not found ]
    Flea Linux Rootkit                                       [ Not found ]
    Fu Rootkit                                               [ Not found ]
    Fuck`it Rootkit                                          [ Not found ]
    GasKit Rootkit                                           [ Not found ]
    Heroin LKM                                               [ Not found ]
    HjC Kit                                                  [ Not found ]
    ignoKit Rootkit                                          [ Not found ]
    IntoXonia-NG Rootkit                                     [ Not found ]
    Irix Rootkit                                             [ Not found ]
    Jynx Rootkit                                             [ Not found ]
    KBeast Rootkit                                           [ Not found ]
    Kitko Rootkit                                            [ Not found ]
    Knark Rootkit                                            [ Not found ]
    ld-linuxv.so Rootkit                                     [ Not found ]
    Li0n Worm                                                [ Not found ]
    Lockit / LJK2 Rootkit                                    [ Not found ]
    Mood-NT Rootkit                                          [ Not found ]
    MRK Rootkit                                              [ Not found ]
    Ni0 Rootkit                                              [ Not found ]
    Ohhara Rootkit                                           [ Not found ]
    Optic Kit (Tux) Worm                                     [ Not found ]
    Oz Rootkit                                               [ Not found ]
    Phalanx Rootkit                                          [ Not found ]
    Phalanx2 Rootkit                                         [ Not found ]
    Phalanx2 Rootkit (extended tests)                        [ Not found ]
    Portacelo Rootkit                                        [ Not found ]
    R3dstorm Toolkit                                         [ Not found ]
    RH-Sharpe's Rootkit                                      [ Not found ]
    RSHA's Rootkit                                           [ Not found ]
    Scalper Worm                                             [ Not found ]
    Sebek LKM                                                [ Not found ]
    Shutdown Rootkit                                         [ Not found ]
    SHV4 Rootkit                                             [ Not found ]
    SHV5 Rootkit                                             [ Not found ]
    Sin Rootkit                                              [ Not found ]
    Slapper Worm                                             [ Not found ]
    Sneakin Rootkit                                          [ Not found ]
    'Spanish' Rootkit                                        [ Not found ]
    Suckit Rootkit                                           [ Not found ]
    Superkit Rootkit                                         [ Not found ]
    TBD (Telnet BackDoor)                                    [ Not found ]
    TeLeKiT Rootkit                                          [ Not found ]
    T0rn Rootkit                                             [ Not found ]
    trNkit Rootkit                                           [ Not found ]
    Trojanit Kit                                             [ Not found ]
    Tuxtendo Rootkit                                         [ Not found ]
    URK Rootkit                                              [ Not found ]
    Vampire Rootkit                                          [ Not found ]
    VcKit Rootkit                                            [ Not found ]
    Volc Rootkit                                             [ Not found ]
    Xzibit Rootkit                                           [ Not found ]
    zaRwT.KiT Rootkit                                        [ Not found ]
    ZK Rootkit                                               [ Not found ]

[Press  to continue]


  Performing additional rootkit checks
    Suckit Rootkit additional checks                         [ OK ]
    Checking for possible rootkit files and directories      [ None found ]
    Checking for possible rootkit strings                    [ None found ]

  Performing malware checks
    Checking running processes for suspicious files          [ None found ]
    Checking for login backdoors                             [ None found ]
    Checking for sniffer log files                           [ None found ]
    Checking for suspicious directories                      [ None found ]
    Checking for suspicious shared memory segments           [ None found ]
  Performing trojan specific checks
    Checking for enabled xinetd services                     [ None found ]

  Performing Linux specific checks
    Checking loaded kernel modules                           [ OK ]
    Checking kernel module names                             [ OK ]

[Press  to continue]


Checking the network...

  Performing checks on the network ports
    Checking for backdoor ports                              [ None found ]

  Performing checks on the network interfaces
    Checking for promiscuous interfaces                      [ None found ]

Checking the local host...

  Performing system boot checks
    Checking for local host name                             [ Found ]
    Checking for system startup files                        [ Found ]
    Checking system startup files for malware                [ None found ]

  Performing group and account checks
    Checking for passwd file                                 [ Found ]
    Checking for root equivalent (UID 0) accounts            [ None found ]
    Checking for passwordless accounts                       [ None found ]
    Checking for passwd file changes                         [ None found ]
    Checking for group file changes                          [ None found ]
    Checking root account shell history files                [ OK ]

  Performing system configuration file checks
    Checking for an SSH configuration file                   [ Found ]
    Checking if SSH root access is allowed                   [ Not allowed ]
    Checking if SSH protocol v1 is allowed                   [ Not allowed ]
    Checking for a running system logging daemon             [ Found ]
    Checking for a system logging configuration file         [ Found ]
    Checking if syslog remote logging is allowed             [ Not allowed ]

  Performing filesystem checks
    Checking /dev for suspicious file types                  [ None found ]
    Checking for hidden files and directories                [ Warning ]

[Press  to continue]



System checks summary
=====================

File properties checks...
    Files checked: 196
    Suspect files: 0

Rootkit checks...
    Rootkits checked : 478
    Possible rootkits: 0

Applications checks...
    All checks skipped

The system checks took: 10 minutes and 31 seconds

All results have been written to the log file: /var/log/rkhunter.log

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
└ Tags: , , , , , , , , , , , , , , , ,
 Comment