Unhide è un software per la sicurezza di Linux che permette di controllare se ci sono processi nascosi e porte TCP/UDP aperte da rootkit od altri malware.
Seppur Linux sia proverbialmente (ed effettivamente) un sistema operativo sicuro, sopratutto se si possiedono dati riservati, importanti, se si è paranoici della sicurezza oppure semplicemente per analizzare il proprio computer e per imparare qualcosa di nuovo Unhide è un ottimo tool che permette di individuare se ci sono processi nascosti ed anche se ci sono connessioni indesiderate, le quali non sono state volute.
Unhide, come Rootkit Hunter non è esclusivamente pensato per i rootkit, ma, tramite i molti parametri che possiede Unhide permette di analizzare dettagliatamente che i processi di sistema (programmi o demoni) siano effettivamente esistenti e voluti e che le porte TCP/UDP aperte siano solo quelle desiderate, per far questo in pratica confronta i processi aperti e le porte aperte con vari output di sistema, se trova qualcosa che non va bene lo segnala altrimenti prosegue.
Nel mio repository non ho trovato Unhide e credo non ci sia neanche nei repository di altre distribuzioni visto che si andrà a scaricare un file .tgz, contenente i sorgenti ancora da compilare, comunque, basterà solo scaricare l'archivio, scompattarlo, entrarci con la shell e digitare:
gcc --static unhide.c -o unhide
gcc --static unhide-tcp.c -o unhide-tcp
gcc -Wall -O2 --static -pthread unhide-linux26.c -o unhide-linux26
Questi tre comandi creeranno i tre eseguibili di Unhide ovvero i files unhide, unhide-tcp e unhide-linux26 che serviranno, il primo per essere utilizzato con kernel precedenti la versione 2.6, il secondo per analizzare le porte TCP/UDP e che non ha parametri ed il terzo per essere utilizzato con kernel 2.6 e successivi.
Un esempio di utilizzo di Unhide potrebbe essere quello di utilizzare il parametro proc per confrontare gli output di /proc con quello di /bin/ps, per farlo basta portarsi nella directory dov'è presente l'eseguibile, e con il kernel 2.6+ basterà digitare:
./unhide-linux26 proc
Se il comando verrà eseguito e non viene mostrato niente vorrà dire che Unhide non ha trovato problemi di sicurezza riguardanti processi nascosti, nel sito internet ufficiale che linko tra poco se non le trovaste nell'archivio sono presenti anche le pagine di man in html che forniscono una dettagliata descrizione di tutti i parametri.
Da qui potete fare il download di Unhide.