Sistemimdeki bir keylogger'ı nasıl tespit edebilirim?

52

Sistemimde bir keylogger olup olmadığını veya en azından şu anda aktif olup olmadığını nasıl bilebilirim?

keyboard  security 
NaomiJO
kaynak
2
Ubuntu'da, zaten kırılmış veya Hacked olmadıkça (nadir senaryo) Keylogger'ın varlığı mümkün değildir. Pencerelere kıyasla farklı ve sağlam bir güvenlik modülüne sahiptir.
atenz,
2
@atenz Doğru değil, eğer X.org görüntü yöneticisini kullanıyorsanız. Güvenlikten ödün vermenin ne kadar kolay olduğunu görmek için 'GUI yalıtımını' google. Nispeten, Windows Vista'dan daha iyi GUI yalıtımı yapıyor.
Nanashi No Gombe

Yanıtlar:

44

Bir keylog şu anda çalışıyor mu?

  • İlk olarak, X'in kurduğu ve her zaman X'in kontrolünde olan bir stok Ubuntu sistemi kullandığınızı ve X'in kendinizin ya da kesinlikle güvendiğiniz birinin olduğunu varsayıyoruz .

  • Bu bir stok sistemi olduğundan ve tüm yazılımlar resmi depolardan kurulduğundan, içinde gizli bir keylogger bulunmadığından emin olabilirsiniz, örneğin birileri çekirdeği özellikle casusluk için sizi tespit etmek çok zor olacak şekilde değiştirir.

  • Ardından, bir keylogger çalışıyorsa, işlemi görünecektir. Yapmanız gereken tek şey kullanmak ps -auxveya htoptüm çalışan işlemlerin listesine bakmak ve şüpheli olup olmadığını anlamaktır.

    • En yaygın "meşru" Linux keylogger'larıdır lkl, uberkey, THC-vlogger, PyKeylogger, logkeys. logkey'ler Ubuntu depolarında bulunan tek kişidir.

Yanlışlıkla trojan / virus keylogger'ı indirdim mi?

  • Genellikle bu risk Ubuntu / Linux'ta sugerekli olan ayrıcalıklar nedeniyle çok düşüktür .
  • Mitch'in cevabında not ettiği gibi bir "rootkit" detektörü kullanmayı deneyebilirsiniz .
  • Aksi takdirde, izleme / hata ayıklama işlemleri, botlar arasındaki dosya modifikasyonlarına / zaman damgalarına bakma, ağ etkinliğini koklama vb. Gibi adli analizler gelir.

Ya "güvenilmeyen" Ubuntu sistemindeysem?

Peki ya internette / siberkafta, kütüphanede, işte vs. Ya da birçok aile üyesi tarafından kullanılan bir ev bilgisayarı?

Tüm bahisler bu durumda kapalıdır. Birisi yeterli beceri / para / kararlılık varsa, tuş vuruşlarını casusluk yapmak oldukça kolaydır:

  • Bir başkasının sistemine tanıtılması neredeyse imkansız olan, kernel modifiye eden gizli keylogger'lar, kamuya açık bir bilgisayar laboratuvarının yöneticisi olduğunuzda ve bunları kendi sistemlerinize yerleştirirken tanıtmak çok daha kolaydır.
  • Klavye ile bilgisayar arasında oturan ve her tuş vuruşunu yerleşik belleğe kaydeden bir donanım USB veya PS / 2 keylogger'ları vardır; klavyenin içinde veya bilgisayar kasasının içinde bile gizlenebilirler.
  • Kameralar, tuş vuruşlarınızı görebilecek veya çözülebilecek şekilde yerleştirilebilir.
  • Diğer her şey başarısız olursa, bir polis devleti sizi silah zoruyla ne yazdığınızı söylemeniz için sizi zorladıktan sonra her zaman goonlarını gönderebilir: /

Bu nedenle, güvenilmeyen bir sistemle yapabileceğiniz en iyi şey, kendi Live-CD / Live-USB'nizi alıp kullanmak, kendi kablosuz klavyenizi alıp, sistemin kendi klavyesinde bulunandan başka bir usb bağlantı noktasına takmaktır ( hem klavyede gizlenmiş hem de bilgisayarda gizlenmiş olan bu bağlantı noktasındakiler, tüm sistemdeki her bağlantı noktası için bir donanım kaydedici kullanmadıklarını umarak) ortadan kaldırmak, kameraları (gizli olanlar için muhtemel noktalar dahil) görmeyi öğrenmek ve eğer bir polis devletindeyseniz, yaptığınız işi bitirin ve yerel polisin müdahale süresinden daha kısa sürede başka bir yerde olun.

imsi
kaynak
Sorum son hedefinize daha odaklıydı. Bahsettiğiniz üç örnek aslında sistemle ilgili değil, bu nedenle canlı bir CD kullanmak yardımcı olmaz. Sadece sistemin kendisinden bahsediyorum, kameralardan veya diğer donanımlardan değil. Anahtarlarımı kaydeden sistemimde bir kanca olup olmadığını nasıl bilebilirim?
NaomiJO,
13

Sadece Linux'ta bulunan bilmediğim bir şeyi atmak istiyorum: Güvenli Metin Girişi.

Xterm'de Ctrl+ - -> "Güvenli Klavye" seçeneğini tıklayın. Bu, xterm tuş vuruşlarını diğer x11 uygulamalarından izole etme isteğinde bulunur. Bu, çekirdek kayıt cihazlarını engellemez, ancak yalnızca bir koruma seviyesidir.

andychase
kaynak
2
Cevabınız bana biraz yeni içgörü veren tek cevap. Xterm'in bu olasılığı olduğunu asla bilmiyordum.
shivam'lar
9

Evet, Ubuntu bir anahtar kaydediciye sahip olabilir. Uzaklaştı, ama olabilir. Tarayıcıdan yararlanılabilir ve bir saldırgan kullanıcı ayrıcalıklarınızla kod çalıştırabilir. Giriş sırasında programları çalıştıran otomatik başlatma hizmetlerini kullanabilir. Herhangi bir program, X Pencere Sisteminde basılan tuşların tarama kodlarını alabilir. Kolayca xinputkomut ile gösterilir . Daha fazla detay için GUI izolasyonuna bakınız. 1

linux key kaydedicilerin klavyeyi izleyebilmeleri için önce root erişimine sahip olmaları gerekir. Bu imtiyazı almadıkları sürece, bir anahtar kaydediciyi çalıştıramazlar. Yapabileceğin tek şey rootkit'leri kontrol etmek. Bunu yapmak için CHKROOTKIT kullanabilirsiniz

1 Kaynak: superuser.com

Mitch
kaynak
1
Kafam karıştı: "Herhangi bir program, X Pencere Sisteminde basılmış tuşların tarama kodlarını alabilir." vs. "linux key logger'larının klavyeyi izleyebilmeleri için önce root erişimine sahip olmaları gerekiyor." Bu bir çelişki değil mi?
guntbert
1
Ve sadece seçici olmak için: birinin bulunması için geçerli kullanım durumları olduğundan
repo'da
Bilgisayarlarımıza rootkit veya key logger ile bulaşmaması için tüm chkrootkit C programlarının, özellikle de “chkrootkit” betiğinin kaynak kodunu kim inceledi?
Curt
@guntbert X çalışıyorsa, varsayılan olarak X oturumuna erişebilen herhangi bir yazılım, tuşları günlüğe kaydedebilir, aksi takdirde, linux olay cihazına doğrudan erişmek için izinlere sahip olmanız gerekir (yalnızca bazı kök yapılandırmalarda budur).
L29Ah
1

Linux keylogger'ları sistemle uyumlu dillerden yapılabilir ve bu verileri kaydetmek için yerel dosya deposu kullanılmasını gerektirir ve eğer programlanmışlarsa, manuel olarak programlanmış veya bununla çalışmak için indirilmiş bir keylogger'ınız varsa işletim sistemi daha sonra sistemdeki herhangi bir yerde, muhtemelen sistem dosyası gibi görünmesi için yeniden adlandırılmış bir dosya olabilir.

En son yarattığımda / sistemimde bir keylogger vardı, bu durumdu ve tespit etmesi ve çıkarması kolaydı, ancak manuel olarak kaynağı bulmayı da içeriyordu ve bu biraz zaman aldı.

Bu tür bir keylogger'ınız varsa, onu bulmaya ve kaldırmaya çalışırdım, ancak gerçekten de indirilen veya yüklenen bir şeyse, Linux'un genellikle şüpheli olmayan güvenli bir işletim sistemi olması ihtimalinin düşük olduğunu düşünürdüm. normalde Windows sistemlerinde bulacağınız virüs biçimleri.

cossacksman
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.