Вопросы Теги

Где я могу найти вредоносные программы, которые могли быть установлены на моем компьютере?

Я хочу проанализировать мой ящик с Ubuntu, чтобы определить, не был ли он взломан. У меня вопрос: где искать, где запускается какое-либо вредоносное ПО? Ниже приведен некоторый необработанный список:

  1. mbr
  2. образ ядра (у меня есть md5)
  3. / sbin / init (у меня есть md5)
  4. Модули ядра в / etc / modules
  5. все сценарии служб в /etc/init.d и / etc / init (у меня есть md5)
  6. /etc/rc.local [ 115]
  7. gnome autorun

и?

Мой вопрос совершенно честный и не злой. Это только для определения того, была ли моя коробка взломана.

23
задан 19.03.2020, 00:57

8 ответов

Лучше всего делать по вашему сценарию формат еженедельно или короче. Установите программу, подобную spideroak, для безопасной синхронизации ваших данных. Таким образом, после переформатирования все, что вам нужно сделать, это загрузить spideroak, и все ваши данные вернутся. Раньше было проще с ubuntuone, но теперь этого нет: (

Кстати: spideroak гарантирует нулевое знание, только если вы никогда не обращаетесь к своим файлам на их сайте через веб-сеанс. Для доступа к данным вы должны использовать только их программный клиент и сменить пароль.

0
ответ дан 19.03.2020, 00:58

Вы также можете попробовать rkhunter, который сканирует ваш компьютер на наличие множества руткитов и троянских коней.

3
ответ дан 19.03.2020, 00:59
  • 1
    rkhunter обнаруживают только известный руткит, кроме того, it' s очень легкий взять любой общедоступный руткит и изменить источник, делающий его необнаруживаемый из rkhunter.. – David Mann 19.03.2020, 00:59

Существуют специализированные дистрибутивы, такие как BackTrack, которые содержат программное обеспечение для анализа подобных ситуаций. Из-за узкоспециализированного характера этих инструментов, как правило, с ними связана довольно крутая кривая обучения. Но тогда, если это действительно беспокоит вас, это хорошо проведенное время.

1
ответ дан 19.03.2020, 00:59
  • 1
    Я знаю отслеживание в обратном порядке, но нет никакого программного обеспечения, которые делают такой вид из проверки автоматически. – cakan 19.03.2020, 00:59
  • 2
    @Luigi, Если бы случалось так, что легкий я был бы аналитиком по безопасности IT / судебным аналитиком из зарплаты с шестью числами... – Egemen Hamutçu 19.03.2020, 01:00

Для вас очевидно (для других я упомяну это), если ваша система работает как виртуальная машина, тогда ваш потенциал риска ограничен. Кнопка питания исправляет ситуацию в этом случае, Храните программы в своей песочнице (как таковые). Сильные пароли. Не могу сказать, что достаточно. С точки зрения SA, это ваша первая линия защиты. Мое эмпирическое правило: не делай любимых 9 символов, используй Specials, а также Upper + Lower case + Numbers. Звучит сложно, правда. Это просто. Пример ... 'H2O = O18 + o16 = water' Я использую химию для некоторых интересных паролей. H2O - это вода, но O18 и O16 - это разные изотопы кислорода, но в итоге получается вода, поэтому «H2O = O18 + o16 = вода». Сильный паразол. Так что назовите этот компьютер / сервер / терминал «Уотербой». Это может помочь.

Неужели я идиот???!

1
ответ дан 19.03.2020, 01:00

Вы никогда не узнаете, заражен ли ваш компьютер или нет. Вы можете быть в состоянии сказать, слушая трафик, приходящий с вашего компьютера. Ниже вы можете кое-что сделать, чтобы убедиться, что ваша система в порядке. Имейте в виду, что ничто не является 100%.

  • Убедитесь, что вы не включили корневую учетную запись
  • Убедитесь, что у вас есть последние обновления безопасности, как только они выйдут
  • Не устанавливайте программное обеспечение, которое вы знаю, что вы вряд ли или никогда не будете использовать
  • Убедитесь, что в вашей системе надежные пароли
  • Отключите ненужные службы или процессы
  • Установите хороший AV ( если вы будете иметь дело с Windows, или, может быть, с электронной почтой, которая может содержать вирус на основе Windows.)

Насколько вы узнали, что вас взломали; вы будете получать всплывающую рекламу, перенаправлять на сайты, которые вы не собирались посещать, и т. д.

Я должен сказать, что /sys /boot /etc среди других считаются важными.

Вредоносные программы Linux также можно обнаружить с помощью инструментов криминалистической экспертизы памяти, таких как Volatility или Volatility

. Также вы можете посмотреть на Почему я Нужно антивирусное программное обеспечение? . Если вы хотите установить антивирусное программное обеспечение, я бы рекомендовал вам установить ClamAV

6
ответ дан 19.03.2020, 01:01

Вы можете установить и запустить ClamAV (softwarecenter) и проверить наличие вредоносных программ на вашем компьютере. Если у вас установлен Wine: удалите его через Synaptic (полное удаление) и, если необходимо, переустановите.

Для справки: существует очень мало вредоносных программ для Linux (не путайте его с прошлым с Windows !!), поэтому вероятность того, что ваша система будет взломана, почти равна zip. Хороший совет: выберите надежный пароль для своего root (вы можете легко изменить его, если это необходимо).

Не волнуйтесь насчет Ubuntu и вредоносных программ; оставайтесь в рамках программного центра / не устанавливайте случайные PPA / не устанавливайте .deb-пакеты, которые не имеют никаких гарантий или сертифицированных фонов; при этом ваша система останется чистой без суеты.

Рекомендуется также удалять каждый раз, когда вы закрываете браузер Firefox (или Chromium) для удаления всех файлов cookie, и очищать вашу историю; это легко установить в настройках.

0
ответ дан 19.03.2020, 01:02

Когда я запускал публичные серверы, я устанавливал их в не-сетевой среде, а затем устанавливал на них Tripwire ( http://sourceforge.net/projects/tripwire/ ).

Tripwire проверил все файлы в системе и сгенерировал отчеты. Вы можете исключить те, которые, по вашему мнению, могут быть изменены (например, файлы журналов) или которые вас не волнуют (почтовые файлы, места в кэше браузера и т. Д.).

Было много работы по просмотру отчетов и их настройке, но было приятно узнать, что если файл изменился, и вы не установили обновление, чтобы изменить его, вы знали, что есть что-то, что нужно быть исследованным. На самом деле мне все это никогда не требовалось, но я рад, что мы запустили его вместе с программным обеспечением брандмауэра и регулярным сканированием портов в сети.

В течение последних 10 лет мне приходилось только обслуживать свой персональный компьютер, и никто другой не имел физического доступа или учетных записей на коробке, а также никаких общедоступных служб (или особых причин для нацеливания на мой компьютер). в частности) я немного слабее, поэтому я не пользовался Tripwire годами ... но это может быть то, что вы ищете, чтобы генерировать отчеты об изменениях файлов.

0
ответ дан 19.03.2020, 01:02

Цель вредоносного ПО - что-то сделать. Так что нужно будет общаться с внешним миром. Поэтому лучше всего посмотреть на сетевой трафик, который происходит на вашем компьютере.

Мне нравится утилита dnstop. Установите sudo apt-get install dnstop

Затем запустите утилиту на вашей сетевой карте 

sudo dnstop -l 3 eth0

Когда программа запустится, нажмите клавишу 3, это изменит экран, чтобы отобразить все запросы DNS, сделано вашим компьютером.

В моем случае я пошел в Ubuntu, и он попытался получить доступ к следующему 

Query Name               Count      %   cum%
-------------------- --------- ------ ------
www.gravatar.com             2   40.0   40.0
askubuntu.com                2   40.0   80.0
ny.stackexchange.com         1   20.0  100.0

Это дает мне представление о том, какие веб-сайты были доступны. То, что вам нужно сделать, это ничего не делать, а сидеть сложа руки и некоторое время ждать, чтобы увидеть, что ваш компьютер получает доступ. Затем кропотливо проследите за всеми этими веб-сайтами, к которым он обращается.

Есть много инструментов, которые вы могли бы использовать, я подумал, что вам было бы легко опробовать их.

25
ответ дан 19.03.2020, 01:03
  • 1
    @Luigi и как Вы устанавливаете, какая из тысяч программ поставилась под угрозу? Выполнение md5 хешируют против чистой системы и сравнение ее к Вашей системе? Наилучший вариант состоит в том, чтобы вытереть компьютер, mbr, даже вывести жесткий диск? BIOS? Много векторов атаки. Это - трудная работа, и Вы, кажется, хорошо информированы. Но что приводит Вас полагать, что Вы были заражены этой супер хитростью " virus"? – David Baucum 19.03.2020, 01:03
  • 2
    uhmm я думаю, что самый глупый руткит прячется и его трафик. – Tim Lewis 19.03.2020, 01:03
  • 3
    Большая часть дистрибутива Linux имеет почти весь md5 файлов, содержавшихся в пакетах. Например, в Ubuntu существует debsums. Так it' s довольно легкий осуществляют большую проверку полной системы. Но конечно некоторые файлы не хешируются.. например, mbr. Но изображение ядра и все модули имеют их md5 (и sha1 или sha256 для предотвращения md5 коллизии), и то же для/sbin/init. Я должен только проверить только материал, который не хешируется, но я должен знать в очень в глубоко процессе начальной загрузки. – mipadi 19.03.2020, 01:04
  • 4
    хорошо, но я думаю, что лучший способ состоит в том, чтобы проанализировать офлайновую систему livecd. Я думаю it' s более легкий, потому что умное вредоносное программное обеспечение может отправить информацию снаружи, только если существуют потоки других данных, или мог отправить информацию о скрытом канале. – Tim Lewis 19.03.2020, 01:04
  • 5
    @Luigi как я сказал, существует много инструментов для судебного анализа. Если. Вы - то взволнованное использование Wireshark и смотрите на трафик в Вашем сегменте сети, который довольно невозможно фальсифицировать, поскольку Вы работаете на аппаратном уровне. Если Вы более параноики, Вы могли бы выполнить Wireshark на чистом компьютере на Вашем сегменте. – Jeff Shannon 19.03.2020, 01:05

Теги

Похожие вопросы