Где я могу найти вредоносные программы, которые могли быть установлены на моем компьютере?

23

Я хочу проанализировать мой ящик с Ubuntu, чтобы определить, был ли он взломан. У меня вопрос: где искать, где запускается какое-либо вредоносное ПО? Ниже приведен какой-то необработанный список:

  1. MBR
  2. образ ядра (у меня md5)
  3. / sbin / init (у меня есть md5)
  4. Модули ядра в / etc / modules
  5. все сценарии служб в /etc/init.d и / etc / init (у меня есть md5)
  6. /etc/rc.local
  7. автозапуск гномов

а также ?

Мой вопрос абсолютно честный и не злой. Это только для обнаружения, если моя коробка была взломана.

boot security malware Луиджи
источник

Ответы:

25

Цель вредоносных программ - что-то сделать. Так что нужно будет общаться с внешним миром. Таким образом, лучший подход - взглянуть на сетевой трафик, который происходит на вашем компьютере.

Мне нравится утилита dnstop. Установить с помощьюsudo apt-get install dnstop

Затем запустите утилиту против вашей сетевой карты 

sudo dnstop -l 3 eth0

Когда утилита запустится, нажмите клавишу 3, это изменит экран, чтобы отобразить все DNS-запросы, сделанные вашим компьютером.

В моем случае я пошел в Ubuntu, и он попытался получить доступ к следующему

Query Name               Count      %   cum%
-------------------- --------- ------ ------
www.gravatar.com             2   40.0   40.0
askubuntu.com                2   40.0   80.0
ny.stackexchange.com         1   20.0  100.0

Это дает мне представление о том, какие веб-сайты были доступны. То, что вам нужно сделать, это ничего не делать, а сидеть сложа руки и некоторое время ждать, чтобы увидеть, что ваш компьютер получает доступ. Затем кропотливо проследите за всеми этими веб-сайтами, к которым он обращается.

Есть много инструментов, которые вы могли бы использовать, я подумал, что вам будет легко их опробовать.

Меер Борг
источник
хм, я думаю, что самые глупые руткиты прячут себя и свой трафик.
Луиджи
@Luigi, как я уже сказал, есть много инструментов для судебного анализа. Если. Вы обеспокоены тем, что используете Wireshark и смотрите на трафик в своем сегменте сети, который практически невозможно подделать, поскольку вы работаете на аппаратном уровне. Если вы более параноик, вы можете запустить Wireshark на чистом компьютере в своем сегменте.
Меер Борг
хорошо, но я думаю, что лучше всего анализировать автономную систему с помощью livecd. Я думаю, что это проще, потому что умные вредоносные программы могут отправлять информацию извне, только если есть другие потоки данных, или могут отправлять информацию по скрытому каналу.
Луиджи
@Luigi, а как определить, какая из тысяч программ была взломана? Запускать хеши md5 для чистой системы и сравнивать ее с вашей системой? Лучший вариант - стереть компьютер, mbr, даже выкинуть жесткий диск? Bios? Много векторов атаки. Это тяжелая работа, и вы, кажется, хорошо осведомлены. Но что заставляет вас верить в то, что вы заразились этим супер-стелс-вирусом?
Меер Борг
1
В большинстве дистрибутивов Linux есть почти все файлы md5, содержащиеся в пакетах. Например в Ubuntu есть дебсумы. Так что довольно легко сделать большую проверку всей системы. Но, конечно, некоторые файлы не хэшируются ... например, mbr. Но образ ядра и все модули имеют свои md5 (и sha1 или sha256, чтобы избежать столкновения md5), и то же самое для / sbin / init. Я просто проверяю только те вещи, которые не хэшированы, но я должен знать очень глубоко процесс загрузки.
Луиджи
6

Вы никогда не сможете узнать, заражен ли ваш компьютер или нет. Вы можете быть в состоянии сказать, слушая трафик, приходящий с вашего компьютера. Ниже вы можете кое-что сделать, чтобы убедиться, что ваша система в порядке. Имейте в виду, что ничто не является 100%.

  • Убедитесь, что вы не включили учетную запись root
  • Убедитесь, что у вас есть последние обновления безопасности, как только они выходят
  • Не устанавливайте программное обеспечение, которое вы знаете, вы вряд ли будете или никогда не будете использовать
  • Убедитесь, что ваша система имеет надежные пароли
  • Отключите любые службы или процессы, которые не нужны
  • Установите хороший AV (если вы будете иметь дело с Windows, или, возможно, письмо, которое может содержать вирус на основе Windows.)

Как выяснить, если тебя взломали; вы получите всплывающую рекламу, перенаправления на сайты, которые вы не собирались посещать, и т. д.

Я бы сказал, что /sys /boot /etcсреди других это считается важным.

Вредоносные программы Linux также могут быть обнаружены с помощью инструментов криминалистической экспертизы памяти, таких как Volatility или Volatility.

Также вы можете посмотреть, зачем мне антивирусное программное обеспечение? , Если вы хотите установить антивирусное программное обеспечение, я бы порекомендовал вам установить ClamAV

Митч
источник
3

Вы также можете попробовать rkhunterсканировать ваш компьютер на наличие множества руткитов и троянских коней.

Кирилл Лори
источник
rkhunter обнаруживает только известный руткит, кроме того, очень легко взять любой публичный руткит и изменить источник, делая его необнаружимым в rkhunter ..
Луиджи
1

Существуют специализированные дистрибутивы, такие как BackTrack, которые содержат программное обеспечение для анализа подобных ситуаций. Из-за узкоспециализированного характера этих инструментов, как правило, с ними связана довольно крутая кривая обучения. Но тогда, если это действительно беспокоит вас, это хорошо проведенное время.

hmayag
источник
Я знаю возвращение, но нет никакого программного обеспечения, которое делает такую ​​проверку автоматически.
Луиджи
@Luigi Если бы это было так просто, я был бы аналитиком по информационной безопасности / судебной экспертизе с шестизначной зарплатой ...
hmayag
1

Для вас очевидно (для других я упомяну это), если ваша система работает как виртуальная машина, тогда ваш риск ограничен. Кнопка питания исправляет ситуацию в этом случае, Храните программы в своей песочнице (как таковые). Сильные пароли. Не могу сказать, что достаточно. С точки зрения SA, это ваша первая линия защиты. Мое эмпирическое правило: не делай любимых 9 символов, используй Specials, а также Upper + Lower case + Numbers. Звучит сложно, правда. Это просто. Пример ... 'H2O = O18 + o16 = water' Я использую химию для некоторых интересных паролей. H2O - это вода, но O18 и O16 - это разные изотопы кислорода, но в итоге получается вода, поэтому «H2O = O18 + o16 = вода». Сильный паразол. Так что называйте этот компьютер / сервер / терминал «Waterboy». Это может помочь.

Я теряю голову?!?!

user161464
источник
0

Вы можете установить и запустить ClamAV (softwarecenter) и проверить наличие вредоносных программ на вашем компьютере. Если у вас установлен Wine: удалите его через Synaptic (полное удаление) и, если необходимо, переустановите.

Для справки: очень мало вредоносного ПО для Linux (не путайте его с прошлым с Windows !!), поэтому вероятность того, что ваша система будет взломана, почти равна zip. Хороший совет: выберите надежный пароль для своего root (вы можете легко изменить его, если это необходимо).

Не волнуйтесь насчет Ubuntu и вредоносного программного обеспечения; оставайтесь в рамках программного центра / не устанавливайте случайные PPA / не устанавливайте .deb-пакеты, которые не имеют никаких гарантий или сертифицированных фонов; при этом ваша система останется чистой без суеты.

Также рекомендуется удалять каждый раз, когда вы закрываете браузер Firefox (или Chromium) для удаления всех файлов cookie, и очищать вашу историю; это легко установить в настройках.

Йорис Дондерс
источник
0

Когда я запускал публичные серверы, я устанавливал их в не-сетевой среде, а затем устанавливал на них Tripwire ( http://sourceforge.net/projects/tripwire/ ).

Tripwire в основном проверил все файлы в системе и сгенерировал отчеты. Вы можете исключить те, которые, как вы говорите, могут быть изменены (например, файлы журналов) или которые вам не нужны (почтовые файлы, места в кэше браузера и т. Д.).

Было много работы по просмотру отчетов и их настройке, но было приятно узнать, что если файл изменился, и вы не установили обновление, чтобы изменить его, вы знали, что нужно что-то исследовать. На самом деле мне все это никогда не требовалось, но я рад, что мы запустили его вместе с программным обеспечением брандмауэра и регулярным сканированием портов в сети.

В течение последних 10 лет мне приходилось только обслуживать свой персональный компьютер, и никто другой не имел физического доступа или учетных записей на коробке, а также никаких общественных служб (или особых причин специально ориентироваться на мой компьютер). немного слабее, так что я не использовал Tripwire годами ... но это может быть то, что вы ищете для создания отчетов об изменениях файлов.

user173411
источник
0

Лучше всего делать по вашему сценарию формат еженедельно или короче. Установите программу, подобную spideroak, для безопасной синхронизации ваших данных. Таким образом, после переформатирования все, что вам нужно сделать, это загрузить spideroak, и все ваши данные вернутся. Раньше было проще с ubuntuone, но теперь этого нет :(

Кстати, spideroak гарантирует нулевое знание, только если вы никогда не получите доступ к своим файлам на их сайте через веб-сессию. Вы должны использовать только их программный клиент для доступа к данным и изменения пароля.

крис
источник