Makineme yüklenmiş olabilecek kötü amaçlı yazılımları nereden bulabilirim?


23

Ubuntu kutumun saldırıya uğradığını tespit etmek için analiz etmek istiyorum. Sorum şu: Bazı kötü amaçlı yazılımların başlatılıp başlatılmadığını keşfetmek için aranacak yer neresi? Aşağıdaki bir tür ham liste:

  1. mBR
  2. çekirdek görüntüsü (md5'im var)
  3. / sbin / init (md5 kodum var)
  4. / Etc / module içindeki çekirdek modülleri
  5. /etc/init.d ve / etc / init içindeki tüm hizmetler betiği (md5 koduna sahibim)
  6. /etc/rc.local
  7. gnome autorun

ve ?

Sorum tamamen dürüst ve kötü niyetli değil. Sadece kutumun tehlikeye girip girmediğini tespit etmek için.

Yanıtlar:


25

Kötü amaçlı yazılımın amacı bir şeyler yapmaktır. Bu yüzden dış dünya ile iletişim kurması gerekecek. Bu yüzden en iyi yaklaşım, bilgisayarınızda meydana gelen ağ trafiğine bir göz atmaktır.

Ben dnstop yardımcı programını seviyorum. Tarafından yüklemeksudo apt-get install dnstop

Ardından yardımcı programı ağ kartınıza karşı çalıştırın.

sudo dnstop -l 3 eth0

Yardımcı program çalıştığında, 3 tuşuna basın, bu işlem, bilgisayarınız tarafından yapılan tüm dns isteklerini görüntülemek için ekranı değiştirir.

Benim durumumda Ubuntu'ya gittim ve aşağıdakilere erişmeye çalıştı.

Query Name               Count      %   cum%
-------------------- --------- ------ ------
www.gravatar.com             2   40.0   40.0
askubuntu.com                2   40.0   80.0
ny.stackexchange.com         1   20.0  100.0

Bu bana hangi web sitelerine erişildiği konusunda bir fikir veriyor. Yapmanız gereken şey hiçbir şey yapmamak ve bilgisayarınızın oturduğunu görmek için arkanıza yaslanıp bir süre beklemektir. Sonra zahmetli bir şekilde erişebildiği tüm web sitelerini takip eder.

Kullanabileceğiniz birçok araç var, bunun sizin için kolay bir yöntem olduğunu düşündüm.


uhmm en aptal rootkit'in kendisini ve trafiğini sakladığını düşünüyorum.
Luigi

@ Luigi dediğim gibi, adli analiz için birçok araç var. Eğer. Wireshark'ı kullanmaktan endişe duyuyorsunuz ve donanım düzeyinde çalışırken taklit edilmesi imkansız olan ağ segmentinizdeki trafiğe bakıyorsunuz. Daha fazla paranoyak kullanıyorsanız, Wireshark'ı segmentinizdeki temiz bir bilgisayarda çalıştırabilirsiniz.
Meer Borg

tamam, ama bence en iyi yol çevrimdışı sistemi livecd ile analiz etmektir. Akıllıca bir kötü amaçlı yazılım, başka veri akışları varsa dışarıdan bilgi gönderebildiğinden veya gizli bir kanaldan bilgi gönderebildiğinden daha kolay olduğunu düşünüyorum.
Luigi

@ Luigi ve binlerce programdan hangisinin ele geçirildiğini nasıl belirlersiniz? Md5 hash'lerini temiz bir sisteme karşı çalıştırma ve kendi sisteminizle karşılaştırma En iyi seçenek bilgisayarı silmek, MD, hatta sabit diski atmak mı? Bios? Çok sayıda saldırı vektörü. Bu zor bir iştir ve iyi bilgilendirilmiş görünüyorsunuz. Ama bu süper gizli "virüs" tarafından enfekte olduğuna inanmana neden olan şey nedir?
Meer Borg

1
Çoğu linux dağıtımı, paketlerde bulunan dosyaların neredeyse tüm md5'lerine sahiptir. Örneğin Ubuntu'da debsums var. Bu yüzden tam sistemi kontrol etmek oldukça kolaydır. Ama elbette bazı dosyalar karışmadı ... örneğin mbr. Fakat çekirdek imajı ve tüm modüller md5'e (ve shad veya sha256'ya md5 çarpışmasını önlemek için) ve / sbin / init için aynıdır. Sadece karıştırılmayan şeyleri kontrol etmeliyim, ancak açılış sürecini çok derinlemesine bilmem gerekiyor.
Luigi

6

PC'nize virüs bulaşmış olup olmadığını asla bilemezsiniz. Bilgisayarınızdan gelen trafiği dinleyerek söyleyebilirsiniz. Aşağıda sisteminizin iyi durumda olduğundan emin olmak için yapabileceğiniz bir şey var. Hiçbir şeyin% 100 olmadığını unutmayın.

  • Kök hesabını etkinleştirmediğinizden emin olun.
  • En son güvenlik güncellemelerinin çıktığından en kısa sürede başladığından emin olun
  • Kullanacağınızı ya da asla kullanmayacağınızı bildiğiniz yazılımları yüklemeyin
  • Sisteminizde güçlü şifreler olduğundan emin olun
  • Gerekli olmayan tüm hizmetleri veya işlemleri kapatın
  • İyi bir AV yükleyin (Windows ile ya da Windows tabanlı bir virüs içeren bir e-posta ile çok fazla uğraşıyorsanız).

Eğer saldırıya uğradığınızı öğrenmek kadarıyla; pop-up reklamlar alacaksınız, ziyaret etmek istemediğiniz sitelere yönlendirileceksiniz, vb.

/sys /boot /etcDiğerlerinin yanında önemli olduğunu söylemek zorunda kalacağım .

Linux kötü amaçlı yazılımları ayrıca Uçuculuk ya da Uçuculık gibi bellek adli tıp araçları kullanılarak da tespit edilebilir.

Ayrıca bakmak isteyebilirsiniz Neden antivirüs yazılımına ihtiyacım var? . Bir Anti-virüs yazılımı kurmak istiyorsanız, ClamAV'ı yüklemenizi tavsiye ederim.


3

Ayrıca rkhunterbirçok ortak rootkit ve truva atı için PC'nizi tarayan da deneyebilirsiniz .


rkhunter sadece bilinen rootkit'i algılar, ayrıca herhangi bir genel rootkit almak ve rkhunter'dan tespit edilemez hale getirmek için kaynak değiştirmek çok kolaydır ..
Luigi

1

Sizinki gibi durumları analiz etmek için yazılım içeren BackTrack gibi uzmanlaşmış dağıtımlar var. Bu araçların son derece uzmanlaşmış yapısı nedeniyle, genellikle bunlarla ilişkili oldukça dik bir öğrenme eğrisi vardır. Ama o zaman bu gerçekten sizin için bir endişe ise, iyi harcanan zamandır.


Geri izlemeyi biliyorum, ancak otomatik olarak böyle bir kontrol yapan herhangi bir yazılım yok.
Luigi

@Luigi O kadar kolay olsaydı, altı rakamlı maaşlı bir BT güvenlik / adli analist
olurdum

1

Eğer sisteminizi bir VM olarak çalıştırıyorsanız, risk potansiyeliniz sınırlı ise, sizin için açıktır (diğerlerinin dediği gibi). Güç düğmesi bu durumda bir şeyi düzeltir, programları kendi sanal alanlarının içinde tutun (kendiliğinden). Güçlü şifreler. Yeterince söyleyemem. SA bakış açısına göre, ilk savunma hattınız. Benim kuralım, 9 karakterin üstüne çıkma, Özel ve Üst + Küçük harf + Numaraları da kullan. Kulağa zor geliyor. Bu kolay. Örnek ... 'H2O = O18 + o16 = su' Bazı karışan şifreler için kimya kullanır. H2O sudur, fakat O18 ve O16 farklıdır Oksijen izotopları, ama sonuçta sonuçta su var, "H2O = O18 + o16 = su" önü var. Güçlü parola. Git. SO bu bilgisayar / sunucu / terminali 'Waterboy' arayın yardımcı olabilir.

Dışarıda mı dolaşıyorum?


0

ClamAV (softwarecenter) yazılımını yükleyip çalıştırabilir ve bilgisayarınızda kötü amaçlı yazılımları kontrol edebilirsiniz. Wine'ın kurulu olması gerekiyorsa: Synaptic ile temizleyin (tamamen çıkarılır) ve gerekirse yeniden yükleyin.

Kayıt için: Linux için çok az sayıda kötü amaçlı yazılım var (Windows ile geçmişle karıştırmayın !!), bu nedenle sisteminizin güvenliğini tehlikeye atma şansı neredeyse fermuarlı. İyi bir tavsiye: Kökünüz için güçlü bir şifre seçin (gerekliyse kolayca değiştirebilirsiniz).

Ubuntu ve kötü amaçlı yazılım hakkında paranoya girmeyin; Yazılım merkezlerinin sınırları dahilinde kalmak / rastgele PPA'ları kurmamak / garanti etmemek veya sertifikalı geçmişleri olmayan .deb paketleri kurmamak; Böylece sisteminiz acele etmeden temiz kalacaktır.

Tüm çerezleri silmek ve geçmişinizi temizlemek için Firefox tarayıcınızı (veya Chromium) her kapatışınızda kaldırmanız da önerilir; bu kolayca tercihlerde belirlenir.


0

Genel sunucuları çalıştırdığımda, onları ağa bağlı olmayan bir ortama yükler ve ardından Tripwire'ı kurardım ( http://sourceforge.net/projects/tripwire/ ).

Tripwire temel olarak sistemdeki tüm dosyaları kontrol etti ve raporlar oluşturdu. Değişiklik yapmanıza izin verilen (günlük dosyaları gibi) veya umursamadığınız şeyleri (posta dosyaları, tarayıcı önbellek konumları, vb.) Hariç tutabilirsiniz.

Raporlardan geçen ve ayarlayan çok iş vardı, ancak bir dosya değiştiyse ve değiştirmek için bir güncelleme yapmadıysanız, araştırılması gereken bir şey olduğunu bildiğinizi bilmek güzeldi. Tüm bunlara hiç ihtiyacım olmadı, ama güvenlik duvarı yazılımı ve ağın düzenli port taramaları ile birlikte çalıştığımıza sevindim.

Son 10 yıl boyunca sadece kişisel makinemi korumak zorunda kaldım ve kimsenin kutuya fiziksel erişimi veya hesapları yoktu ve kamu hizmetleri (ya da özellikle makinemi hedeflemem için çok fazla sebep) yoktu. biraz daha gevşek, bu yüzden yıllardır Tripwire kullanmamıştım ... ama dosya değişiklik raporları oluşturmak için aradığınız bir şey olabilir.


0

Senaryoda yapılacak en iyi şey haftalık veya daha kısa formattır. Verilerinizi güvenle senkronize etmek için spideroak benzeri bir program yükleyin. Bu şekilde yeniden biçimlendirmeden sonra yapmanız gereken tek şey spideroak indirmektir ve tüm verileriniz geri gelir. Ubuntuone ile daha kolaydı ama şimdi gitti :(

btw: spideroak, sitelerinde dosyalarınıza asla bir web oturumu yoluyla erişmediğinizde yalnızca sıfır bilgiyi garanti eder. verilere erişmek ve şifrenizi değiştirmek için yalnızca yazılım istemcisini kullanmanız gerekir.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.