Gdzie mogę znaleźć złośliwe oprogramowanie, które mogło zostać zainstalowane na moim komputerze?

23

Chcę przeanalizować moje pole ubuntu w celu wykrycia, czy zostało zhakowane. Moje pytanie brzmi: w którym miejscu szukać, aby uruchomić złośliwe oprogramowanie? Oto niektóre surowe listy:

  1. mbr
  2. obraz jądra (mam md5)
  3. / sbin / init (mam md5)
  4. Moduły jądra w / etc / modules
  5. wszystkie skrypty usług w /etc/init.d i / etc / init (mam md5)
  6. /etc/rc.local
  7. gnome autorun

i ?

Moje pytanie jest całkowicie uczciwe i nie jest złośliwe. Tylko w celu wykrycia, czy moje urządzenie zostało naruszone.

boot security malware Luigi
źródło

Odpowiedzi:

25

Celem złośliwego oprogramowania jest zrobienie czegoś. Będzie więc musiał komunikować się ze światem zewnętrznym. Najlepszym podejściem jest przyjrzenie się ruchowi sieciowemu na twoim komputerze.

Lubię narzędzie dnstop. Zainstaluj przezsudo apt-get install dnstop

Następnie uruchom narzędzie na karcie sieciowej 

sudo dnstop -l 3 eth0

Po uruchomieniu narzędzia naciśnij klawisz 3, zmieni to ekran, aby wyświetlić wszystkie żądania dns wykonane przez komputer.

W moim przypadku poszedłem do Ubuntu i próbowałem uzyskać dostęp do następujących

Query Name               Count      %   cum%
-------------------- --------- ------ ------
www.gravatar.com             2   40.0   40.0
askubuntu.com                2   40.0   80.0
ny.stackexchange.com         1   20.0  100.0

To daje mi pojęcie o tym, do których stron internetowych uzyskano dostęp. To, co musisz zrobić, to nic nie robić, usiąść i poczekać, aż zobaczysz dostęp do komputera. Następnie mozolnie monitoruj wszystkie witryny, do których uzyskuje dostęp.

Jest wiele narzędzi, których możesz użyć. Pomyślałem, że to było łatwe do wypróbowania.

Meer Borg
źródło
uhmm Myślę, że najgłupszy rootkit ukrywa się i jego ruch.
Luigi
@Ligi, jak powiedziałem, istnieje wiele narzędzi do analizy kryminalistycznej. Jeśli. martwisz się, że korzystasz z Wireshark i patrzysz na ruch w swoim segmencie sieci, którego fałszowanie jest niemożliwe, ponieważ pracujesz na poziomie sprzętowym. Jeśli jesteś bardziej paranoikiem, możesz uruchomić Wireshark na czystym komputerze w swoim segmencie.
Meer Borg,
ok, ale myślę, że najlepszym sposobem jest analiza systemu offline przez livecd. Myślę, że jest to łatwiejsze, ponieważ sprytne złośliwe oprogramowanie może wysyłać informacje na zewnątrz tylko wtedy, gdy istnieją inne strumienie danych lub może wysyłać informacje na ukrytym kanale.
Luigi
@Ligi i jak ustalić, który z tysięcy programów został naruszony? Uruchamianie skrótów md5 na czystym systemie i porównywanie go z systemem? Najlepsza opcja to wyczyszczenie komputera, MBR, a nawet wyrzucenie dysku twardego? Bios? Wiele wektorów ataku. To ciężka praca i wydajesz się być dobrze poinformowany. Ale co sprawia, że ​​wierzysz, że zostałeś zainfekowany tym „niewidzialnym” wirusem?
Meer Borg,
1
Większość dystrybucji Linuksa ma prawie wszystkie pliki md5 zawarte w pakietach. Na przykład w Ubuntu są sumy debum. Więc to całkiem proste, sprawdź dokładnie cały system. Ale oczywiście niektóre pliki nie są mieszane ... na przykład mbr. Ale obraz jądra i wszystkie moduły mają swoje md5 (i sha1 lub sha256, aby uniknąć kolizji md5), i to samo dla / sbin / init. Muszę tylko sprawdzić tylko te rzeczy, które nie są zaszyfrowane, ale muszę bardzo dokładnie poznać proces uruchamiania.
Luigi
6

Nigdy nie wiadomo, czy komputer jest już zainfekowany, czy nie. Możesz to stwierdzić, słuchając ruchu przychodzącego z komputera. Poniżej znajduje się coś, co możesz zrobić, aby upewnić się, że twój system jest w porządku. Pamiętaj, że nic nie jest w 100%.

  • Upewnij się, że nie włączasz konta root
  • Upewnij się, że masz najnowsze aktualizacje zabezpieczeń, gdy tylko się pojawią
  • Nie instaluj oprogramowania, o którym wiesz, że prawie nigdy nie będziesz go używać
  • Upewnij się, że twój system ma silne hasła
  • Wyłącz wszelkie usługi lub procesy, które nie są potrzebne
  • Zainstaluj dobre oprogramowanie antywirusowe (jeśli będziesz miał dużo do czynienia z systemem Windows, a może wiadomość e-mail, która może zawierać wirusa opartego na systemie Windows).

Jeśli chodzi o sprawdzenie, czy zostałeś zhakowany; dostaniesz wyskakujące reklamy, przekierowania do stron, których nie zamierzałeś odwiedzić itp.

Chciałbym powiedzieć, że /sys /boot /etcmiędzy innymi uważa się je za ważne.

Złośliwe oprogramowanie dla systemu Linux można również wykryć za pomocą narzędzi kryminalistycznych pamięci, takich jak zmienność lub zmienność

Warto też przyjrzeć się, dlaczego potrzebuję oprogramowania antywirusowego? . Jeśli chcesz zainstalować oprogramowanie antywirusowe, radzę zainstalować ClamAV

Mitch
źródło
3

Możesz także wypróbować, rkhunterktóry skanuje komputer w poszukiwaniu wielu typowych rootkitów i koni trojańskich.

Cyril Laury
źródło
rkhunter wykrywa tylko znanego rootkita, ponadto bardzo łatwo jest pobrać dowolny publiczny rootkit i zmienić źródło, uniemożliwiając jego wykrycie z rkhuntera.
Luigi
1

Istnieją wyspecjalizowane dystrybucje, takie jak BackTrack, które zawierają oprogramowanie do analizy sytuacji takich jak Twoja. Ze względu na wysoce specjalistyczny charakter tych narzędzi zwykle wiąże się z nimi dość stroma krzywa uczenia się. Ale jeśli jest to dla ciebie naprawdę ważne, to dobrze spędzony czas.

hmayag
źródło
Znam backtrack, ale nie ma żadnego oprogramowania, które automatycznie sprawdzałoby taki rodzaj.
Luigi
@Ligi Jeśli byłoby to takie proste, byłbym analitykiem bezpieczeństwa / kryminalistyki z sześciocyfrową pensją ...
hmayag
1

To oczywiste dla ciebie (dla innych wspomnę o tym), jeśli prowadzisz system jako maszynę wirtualną, wówczas potencjalne ryzyko jest ograniczone. Przycisk zasilania naprawia coś w tym przypadku, Zachowaj programy wewnątrz ich piaskownicy (per ~ se). Silne hasła. Nie mogę tego powiedzieć. Z punktu widzenia SA jest to Twoja obrona w pierwszej linii. Moja ogólna zasada: nie idź poniżej 9 znaków, używaj również Specjalizacji, a także wielkie i małe litery + cyfry. Brzmi ciężko, prawda. To łatwe. Przykład ... „H2O = O18 + o16 = woda” Używam chemii dla niektórych interesujących haseł. H2O to woda, ale O18 i O16 są różnymi izotopami tlenu, ale w końcu powstaje woda, dlatego „H2O = O18 + o16 = woda” .. Silne hasło. SO nazywają ten komputer / serwer / terminal „Waterboy”. Może to pomóc.

Czy ja się denerwuję?!?!

użytkownik161464
źródło
0

możesz zainstalować i uruchomić ClamAV (centrum oprogramowania) i sprawdzić na swoim komputerze złośliwe oprogramowanie. Jeśli masz zainstalowane Wine: wyczyść je za pomocą Synaptic (całkowite usunięcie) i wykonaj ponowną instalację, jeśli jest to konieczne.

Dla przypomnienia: istnieje bardzo mało złośliwego oprogramowania dla systemu Linux (nie mieszaj go z przeszłością w systemie Windows !!), więc ryzyko naruszenia bezpieczeństwa twojego systemu wynosi prawie zip. Dobra rada: wybierz silne hasło do swojego katalogu głównego (możesz to łatwo zmienić, jeśli jest to konieczne).

Nie wpadaj w paranoję na temat Ubuntu i złośliwego oprogramowania; trzymaj się linii centrum oprogramowania / nie instaluj losowych PPA / nie instaluj pakietów .deb, które nie mają gwarancji ani certyfikowanego tła; dzięki temu twój system pozostanie czysty bez pośpiechu.

Wskazane jest również usuwanie za każdym razem, gdy zamykasz przeglądarkę Firefox (lub Chromium) za usunięcie wszystkich plików cookie i wyczyszczenie historii; można to łatwo ustawić w preferencjach.

Joris Donders
źródło
0

Kiedy uruchomiłem publiczne serwery, instalowałem je w środowisku niesieciowym, a następnie instalowałem na nich Tripwire ( http://sourceforge.net/projects/tripwire/ ).

Tripwire zasadniczo sprawdził wszystkie pliki w systemie i wygenerował raporty. Możesz wykluczyć te, które, jak mówisz, mogą zmieniać (jak pliki dziennika) lub których nie obchodzi Cię (pliki poczty, lokalizacje pamięci podręcznej przeglądarki itp.).

Dużo pracy polegało na przejrzeniu raportów i skonfigurowaniu ich, ale miło było wiedzieć, że jeśli plik się zmieni, a nie zainstalujesz aktualizacji, aby go zmienić, wiesz, że jest coś, co należy zbadać. Nigdy tak naprawdę nie potrzebowałem tego wszystkiego, ale cieszę się, że uruchomiliśmy go wraz z oprogramowaniem zapory ogniowej i regularnym skanowaniem portów w sieci.

Przez ostatnie 10 lat musiałem tylko utrzymywać swój komputer osobisty, a nikt inny nie miał fizycznego dostępu ani kont w pudełku, a także żadnych usług publicznych (lub wielu powodów, by kierować swoją maszynę specjalnie) trochę więcej rozluźnienia, więc nie używałem Tripwire od lat ... ale może to być coś, czego szukasz do generowania raportów o zmianach plików.

użytkownik173411
źródło
0

Najlepszą rzeczą w twoim scenariuszu jest formatowanie co tydzień lub krócej. Zainstaluj program, taki jak pająk, aby bezpiecznie zsynchronizować dane. W ten sposób po ponownym sformatowaniu wystarczy pobrać pająka i wszystkie dane wrócą. Kiedyś było łatwiej z Ubuntuone, ale teraz go nie ma :(

btw: spideroak gwarantuje zerową wiedzę, jeśli nigdy nie uzyskasz dostępu do swoich plików na ich stronie za pośrednictwem sesji internetowej. musisz używać tylko klienta oprogramowania, aby uzyskać dostęp do danych i zmienić hasło.

kris
źródło