Unhide, Scopri Processi Nascosti e Porte Aperte

Pubblicato da Yuri Carlenzoli | 06 ottobre 2011

Unhide è un software per la sicurezza di Linux che permette di controllare se ci sono processi nascosi e porte TCP/UDP aperte da rootkit od altri malware.

Unhide

Seppur Linux sia proverbialmente (ed effettivamente) un sistema operativo sicuro, sopratutto se si possiedono dati riservati, importanti, se si è paranoici della sicurezza oppure semplicemente per analizzare il proprio computer e per imparare qualcosa di nuovo Unhide è un ottimo tool che permette di individuare se ci sono processi nascosti ed anche se ci sono connessioni indesiderate, le quali non sono state volute.

Unhide, come Rootkit Hunter non è esclusivamente pensato per i rootkit, ma, tramite i molti parametri che possiede Unhide permette di analizzare dettagliatamente che i processi di sistema (programmi o demoni) siano effettivamente esistenti e voluti e che le porte TCP/UDP aperte siano solo quelle desiderate, per far questo in pratica confronta i processi aperti e le porte aperte con vari output di sistema, se trova qualcosa che non va bene lo segnala altrimenti prosegue.

Nel mio repository non ho trovato Unhide e credo non ci sia neanche nei repository di altre distribuzioni visto che si andrà a scaricare un file .tgz, contenente i sorgenti ancora da compilare, comunque, basterà solo scaricare l'archivio, scompattarlo, entrarci con la shell e digitare:

gcc --static unhide.c -o unhide

gcc --static unhide-tcp.c -o unhide-tcp

gcc -Wall -O2 --static -pthread unhide-linux26.c -o unhide-linux26

Questi tre comandi creeranno i tre eseguibili di Unhide ovvero i files unhide, unhide-tcp e unhide-linux26 che serviranno, il primo per essere utilizzato con kernel precedenti la versione 2.6, il secondo per analizzare le porte TCP/UDP e che non ha parametri ed il terzo per essere utilizzato con kernel 2.6 e successivi.

Un esempio di utilizzo di Unhide potrebbe essere quello di utilizzare il parametro proc per confrontare gli output di /proc con quello di /bin/ps, per farlo basta portarsi nella directory dov'è presente l'eseguibile, e con il kernel 2.6+ basterà digitare:

./unhide-linux26 proc

Se il comando verrà eseguito e non viene mostrato niente vorrà dire che Unhide non ha trovato problemi di sicurezza riguardanti processi nascosti, nel sito internet ufficiale che linko tra poco se non le trovaste nell'archivio sono presenti anche le pagine di man in html che forniscono una dettagliata descrizione di tutti i parametri.

Da qui potete fare il download di Unhide.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Moderazione dei commenti attiva. Il tuo commento non apparirà immediatamente.