Где я могу найти вредоносное ПО, которое может быть установлено на моей машине?

23

Я хочу проанализировать свой ящик ubuntu, чтобы определить, был ли он взломан. Мой вопрос: где все, где искать, запускать ли какое-нибудь вредоносное ПО? Ниже приведен какой-то необработанный список:

  1. mbr
  2. образ ядра (у меня есть md5)
  3. / sbin / init (у меня есть md5)
  4. Модули ядра в / etc / modules
  5. весь скрипт служб в /etc/init.d и / etc / init (у меня есть md5)
  6. /etc/rc.local
  7. автозапуск gnome

и?

Мой вопрос абсолютно честный и не злой. Это только для того, чтобы определить, был ли у меня поврежден ящик.

    
задан Luigi 23.05.2013 в 10:33
источник

8 ответов

24

Цель вредоносного ПО - это что-то сделать. Поэтому ему нужно будет общаться с внешним миром. Поэтому наилучшим подходом является просмотр сетевого трафика, который происходит на вашем компьютере.

Мне нравится утилита dnstop. Установите sudo apt-get install dnstop

Затем запустите утилиту с вашей сетевой картой.

sudo dnstop -l 3 eth0

Когда запускается утилита, нажмите клавишу 3, это изменит экран, чтобы отобразить все запросы DNS, сделанные вашим компьютером.

В моем случае я пошел в Ubuntu, и он попытался получить доступ к следующим

Query Name               Count      %   cum%
-------------------- --------- ------ ------
www.gravatar.com             2   40.0   40.0
askubuntu.com                2   40.0   80.0
ny.stackexchange.com         1   20.0  100.0

Это дает мне представление о том, какие веб-сайты были доступны. То, что вам нужно сделать, - ничего не делать, отсидеться и подождать некоторое время, чтобы узнать, к чему обращается ваш компьютер. Затем тщательно отслеживайте все те веб-сайты, к которым он обращается.

Есть много инструментов, которые вы могли бы использовать, я думал, что это было легко для вас попробовать.

    
ответ дан Meer Borg 23.05.2013 в 11:18
6

Вы никогда не узнаете, заражен ли ваш компьютер или нет. Возможно, вы сможете сказать, прослушивая трафик, поступающий с вашего компьютера. Ниже вы можете сделать то, что ваша система в порядке. Имейте в виду, что ничего не составляет 100%.

  • Убедитесь, что вы не включили учетную запись root
  • Убедитесь, что у вас есть последние обновления безопасности, как только они выйти
  • Не устанавливайте программное обеспечение, которое, как вы знаете, вряд ли или никогда не будет использовать
  • Убедитесь, что ваша система имеет надежные пароли.
  • Отключить любые службы или процессы, которые не нужны
  • Установите хороший AV (если вы будете иметь дело с Windows или, может быть, с электронной почтой, которая может содержать вирус на базе Windows.)

Насколько вы узнаете, были ли вы взломаны; вы получите всплывающие объявления, переадресовываете сайты, которые вы не собираетесь посещать, и т. д.

Я бы сказал, что /sys /boot /etc и другие считаются важными.

Вредоносная программа для Linux также может быть обнаружена с помощью инструментов памяти для криминалистики, таких как Волатильность или Volatility

Также вы можете посмотреть Зачем мне антивирусное программное обеспечение? . Если вы хотите установить антивирусное ПО, я рекомендую вам установить ClamAV

    
ответ дан Mitch 23.05.2013 в 11:12
3

Вы также можете попробовать rkhunter , который сканирует ваш компьютер на множество обычных руткитов и троянских коней.     

ответ дан Cyril Laury 23.05.2013 в 11:54
1

Существуют специализированные дистрибутивы, такие как BackTrack, которые содержат программное обеспечение для анализа ситуаций, подобных вашим. Из-за узкоспециализированного характера этих инструментов обычно существует довольно крутая кривая обучения, связанная с ними. Но тогда, если это действительно беспокоит вас, время хорошо потрачено.

    
ответ дан hmayag 23.05.2013 в 11:17
1

Для вас это очевидно (для других я упомянул об этом), если вы используете свою систему как виртуальную машину, тогда ваш потенциальный риск ограничен. Кнопка питания фиксирует в этом случае вещь. Храните программы внутри их песочницы (по отдельности). Сильные пароли. Не могу сказать этого достаточно. С точки зрения SA это ваша первая защита линии. Мое эмпирическое правило не держится 9 символов, используйте специальные предложения и верхний + нижний регистр + номера. Звучит сложно. Это просто. Пример ... «H2O = O18 + o16 = вода» Я использую химию для некоторых промежуточных паролей. H2O - это вода, но O18 и O16 - это разные изотопы кислорода, но в итоге получается вода, поэтому «H2O = O18 + o16 = вода». Сильный паз. Общепринятая жалоба помнит его. SO называют этот компьютер / сервер / терминал «Waterboy». Это может помочь.

Собираюсь ли я?!?!

    
ответ дан user161464 24.05.2013 в 17:23
0

вы можете установить и запустить ClamAV (softwarecenter) и проверить наличие вредоносного программного обеспечения на вашем компьютере. Если у вас установлен Wine: очистите его с помощью Synaptic (полное удаление) и выполните повторную установку, если это необходимо.

Для записи: очень мало вредоносного программного обеспечения для Linux (не смешивайте его с прошлым с Windows !!), поэтому вероятность того, что ваша система была скомпрометирована, почти zip. Хороший совет: выберите надежный пароль для своего корня (вы можете легко изменить это, если это необходимо).

Не попадайте в параноид о Ubuntu и вредоносных программах; оставаться в пределах программного центра / не устанавливать случайные PPA / не устанавливать .deb-пакеты, у которых нет гарантий и не сертифицированных фонов; так что ваша система останется чистой без халата.

Также рекомендуется удалять каждый раз, когда вы закрываете свой Firefox-браузер (или Chromium), чтобы удалить все куки и удалить свою историю; это легко устанавливается в настройках.     

ответ дан Joris Donders 23.05.2013 в 11:12
0

Когда я запускал общедоступные серверы, я бы установил их в несетевой среде, а затем установил на них Tripwire ( Ссылка ).

Tripwire в основном проверил все файлы в системе и сгенерировал отчеты. Вы можете исключить те, которые, как вы говорите, могут меняться (например, файлы журналов) или что вас не волнуют (файлы почты, местоположения кэша браузера и т. Д.).

Было много работы с отчетами и настройкой, но было приятно узнать, что если файл изменился и вы не установили обновление, чтобы изменить его, вы знали, что есть что-то, что необходимо для . Я никогда не нуждался во всем этом, но я рад, что мы запустили его вместе с программным обеспечением брандмауэра и обычным сканированием портов в сети.

В течение последних 10 лет мне приходилось обслуживать только мою личную машину, и ни у кого другого не было физического доступа или учетных записей на ящике, а также никаких публичных услуг (или особых причин для целевой машины) Немного более слабый, поэтому я не использовал Tripwire годами ... но это может быть то, что вы ищете для создания отчетов об изменениях файла.

    
ответ дан user173411 08.07.2013 в 04:13
0

Лучше всего делать в своем сценарии формат еженедельно или короче. Установите программу, такую ​​как spideroak, чтобы безопасно синхронизировать данные. Таким образом, после форматирования все, что вам нужно сделать, это загрузить spideroak, и все ваши данные вернутся. Это было проще с ubuntuone, но это уже не так: (

btw: spideroak гарантирует только нулевое знание, если вы никогда не получаете доступ к своим файлам на своем сайте через веб-сеанс. вы должны использовать только своего клиента программного обеспечения для доступа к данным и для изменения вашего пароля.

    
ответ дан kris 27.07.2014 в 06:06