ฉันจะหามัลแวร์ที่ติดตั้งในเครื่องได้จากที่ใด


23

ฉันต้องการวิเคราะห์กล่อง Ubuntu ของฉันเพื่อตรวจสอบว่ามันถูกแฮ็กหรือไม่ คำถามของฉันคืออะไรคือสถานที่ที่จะค้นพบทั้งหมดหากมีซอฟต์แวร์ที่เป็นอันตรายเริ่มต้นขึ้น ต่อไปนี้เป็นรายการดิบบางชนิด:

  1. MBR
  2. ภาพเคอร์เนล (ฉันมี md5)
  3. / sbin / init (ฉันมี md5)
  4. โมดูลเคอร์เนลใน / etc / modules
  5. สคริปต์บริการทั้งหมดใน /etc/init.d และ / etc / init (ฉันมี md5)
  6. /etc/rc.local
  7. การทำงานอัตโนมัติของ gnome

และ

คำถามของฉันมีความซื่อสัตย์อย่างสมบูรณ์และไม่เป็นอันตราย เพียงเพื่อตรวจสอบว่ากล่องของฉันถูกบุกรุก

คำตอบ:


25

วัตถุประสงค์ของมัลแวร์คือการทำบางสิ่งบางอย่าง ดังนั้นจะต้องสื่อสารกับโลกภายนอก ดังนั้นวิธีที่ดีที่สุดคือดูปริมาณการใช้เครือข่ายที่เกิดขึ้นบนคอมพิวเตอร์ของคุณ

ฉันชอบโปรแกรมอรรถประโยชน์ dnstop ติดตั้งโดยsudo apt-get install dnstop

จากนั้นเรียกใช้ยูทิลิตีเทียบกับการ์ดเครือข่ายของคุณ

sudo dnstop -l 3 eth0

เมื่อยูทิลิตี้รันกดปุ่ม 3 สิ่งนี้จะเปลี่ยนหน้าจอเพื่อแสดงการร้องขอ DNS ทั้งหมดที่ทำโดยคอมพิวเตอร์ของคุณ

ในกรณีของฉันฉันไปที่ Ubuntu และพยายามเข้าถึงสิ่งต่อไปนี้

Query Name               Count      %   cum%
-------------------- --------- ------ ------
www.gravatar.com             2   40.0   40.0
askubuntu.com                2   40.0   80.0
ny.stackexchange.com         1   20.0  100.0

สิ่งนี้ทำให้ฉันเข้าใจว่ามีเว็บไซต์ใดบ้างที่เข้าถึงได้ สิ่งที่คุณต้องทำคือไม่ทำอะไรเลยนั่งรอสักครู่เพื่อดูว่าคอมพิวเตอร์ของคุณเข้าถึงอะไรบ้าง จากนั้นติดตามเว็บไซต์ทั้งหมดที่เข้าใช้อย่างลำบาก

มีเครื่องมือมากมายที่คุณสามารถใช้ได้ฉันคิดว่านี่เป็นเครื่องมือที่ง่ายสำหรับคุณที่จะลองใช้


อืมฉันคิดว่ารูทคิทที่โง่ที่สุดก็ซ่อนตัวและทราฟฟิกของมัน
Luigi

@Luigi อย่างที่ฉันบอกมีเครื่องมือมากมายสำหรับการวิเคราะห์ทางนิติเวช ถ้า. คุณเป็นห่วงที่ใช้ Wireshark และดูปริมาณการใช้งานในส่วนเครือข่ายของคุณซึ่งเป็นไปไม่ได้ที่จะปลอมแปลงเมื่อคุณทำงานในระดับฮาร์ดแวร์ หากคุณหวาดระแวงมากขึ้นคุณสามารถเรียกใช้ Wireshark บนคอมพิวเตอร์ที่สะอาดในส่วนของคุณ
Meer Borg

ตกลง แต่ฉันคิดว่าวิธีที่ดีที่สุดคือการวิเคราะห์ระบบออฟไลน์โดย livecd ฉันคิดว่ามันง่ายกว่าเพราะมัลแวร์ที่ฉลาดสามารถส่งข้อมูลภายนอกเฉพาะในกรณีที่มีสตรีมข้อมูลอื่น ๆ หรือสามารถส่งข้อมูลในช่องแอบแฝง
Luigi

@Luigi และวิธีการที่คุณสร้างหนึ่งในหลายพันโปรแกรมที่ถูกบุกรุก? ใช้ md5 hashes กับระบบที่สะอาดและเปรียบเทียบกับระบบของคุณหรือไม่ ตัวเลือกที่ดีที่สุดคือการล้างคอมพิวเตอร์ mbr แม้กระทั่งโยนฮาร์ดดิสก์? Bios? เวกเตอร์โจมตีจำนวนมาก มันเป็นงานที่ยากและดูเหมือนว่าคุณจะได้รับข้อมูลที่ดี แต่อะไรทำให้คุณเชื่อว่าคุณติดเชื้อ "ไวรัส" ตัวนี้
Meer Borg

1
ลินุกซ์ distro ส่วนใหญ่มีไฟล์ md5 เกือบทั้งหมดอยู่ในแพ็คเกจ ตัวอย่างเช่นใน Ubuntu มี debsums ดังนั้นมันจึงค่อนข้างง่ายที่จะตรวจสอบระบบใหญ่อย่างสมบูรณ์ แต่แน่นอนว่าไฟล์บางไฟล์จะไม่แฮช .. ตัวอย่างเช่น mbr แต่อิมเมจเคอร์เนลและโมดูลทั้งหมดมี md5 (และ sha1 หรือ sha256 เพื่อหลีกเลี่ยงการชนกันของ md5) และเหมือนกันสำหรับ / sbin / init ฉันต้องตรวจสอบเฉพาะสิ่งที่ไม่ได้แฮช แต่ฉันต้องรู้ขั้นตอนการบู๊ตในเชิงลึก
Luigi

6

คุณไม่มีทางรู้ได้เลยว่าพีซีของคุณติดไวรัสแล้วหรือยัง คุณอาจสามารถบอกได้ด้วยการฟังปริมาณข้อมูลที่มาจากคอมพิวเตอร์ของคุณ ด้านล่างเป็นสิ่งที่คุณสามารถทำได้เพื่อให้แน่ใจว่าระบบของคุณใช้ได้ โปรดทราบว่าไม่มีอะไรที่เป็น 100%

  • ตรวจสอบให้แน่ใจว่าคุณไม่ได้เปิดใช้งานบัญชีรูท
  • ตรวจสอบให้แน่ใจว่าคุณมีอัปเดตความปลอดภัยล่าสุดทันทีที่ออกมา
  • อย่าติดตั้งซอฟต์แวร์ที่คุณรู้ว่าคุณแทบจะไม่เคยใช้เลย
  • ตรวจสอบให้แน่ใจว่าระบบของคุณมีรหัสผ่านที่คาดเดายาก
  • ปิดบริการหรือกระบวนการใด ๆ ที่ไม่จำเป็น
  • ติดตั้ง AV ที่ดี (หากคุณต้องติดต่อกับ Windows เป็นอย่างมากหรืออาจเป็นอีเมลที่อาจมีไวรัสจาก Windows)

เท่าที่ทราบว่าคุณถูกแฮ็ค คุณจะได้รับโฆษณาป๊อปอัปเปลี่ยนเส้นทางไปยังไซต์ที่คุณไม่ต้องการเข้าชม ฯลฯ

ฉันจะต้องบอกว่า/sys /boot /etcในหมู่คนอื่นถือว่ามีความสำคัญ

มัลแวร์ลีนุกซ์สามารถตรวจจับได้โดยใช้เครื่องมือพิสูจน์หลักฐานหน่วยความจำเช่นความผันผวนหรือความผันผวน

นอกจากนี้คุณอาจต้องการดูทำไมฉันต้องใช้ซอฟต์แวร์ป้องกันไวรัส . หากคุณต้องการติดตั้งซอฟต์แวร์ป้องกันไวรัสฉันอยากจะแนะนำให้คุณติดตั้งClamAV


3

คุณสามารถลองrkhunterสแกนพีซีของคุณเพื่อหารูทคิทและม้าโทรจันจำนวนมาก


rkhunter สำหรับแพลตฟอร์มวินโดวส์ตรวจสอบเพียง rootkit ที่รู้จักกันนอกจากนี้มันเป็นเรื่องง่ายมากที่จะใช้ rootkit สาธารณะใด ๆ และการเปลี่ยนแปลงแหล่งที่มาทำให้มันเป็นจิตวิทยาจาก rkhunter สำหรับแพลตฟอร์มวินโดวส์ ..
Luigi

1

มีดิสทริบิวชันพิเศษเช่น BackTrack ที่มีซอฟต์แวร์เพื่อวิเคราะห์สถานการณ์เช่นคุณ เนื่องจากลักษณะพิเศษของเครื่องมือเหล่านี้มักจะมีเส้นโค้งการเรียนรู้ค่อนข้างสูงที่เกี่ยวข้องกับพวกเขา แต่ถ้านี่เป็นสิ่งที่คุณกังวลอย่างแท้จริงนั่นคือเวลาที่ใช้ไป


ฉันรู้จัก backtrack แต่ไม่มีซอฟต์แวร์ใด ๆ ที่ทำการตรวจสอบเช่นนั้นโดยอัตโนมัติ
Luigi

@Luigi ถ้ามันเป็นเรื่องง่ายที่ผมจะรักษาความปลอดภัยไอที / นักวิเคราะห์ทางนิติเวชที่มีเงินเดือนหกตัวเลข ...
hmayag

1

เห็นได้ชัดสำหรับคุณ (เพราะคนอื่นฉันจะพูดถึงมัน) ถ้าคุณใช้ระบบของคุณในฐานะ VM ดังนั้นความเสี่ยงของคุณมี จำกัด ปุ่มเปิด / ปิดจะช่วยแก้ไขบางอย่างในกรณีนั้นให้โปรแกรมอยู่ในกล่องนิรภัย (ต่อ ~ se) รหัสผ่านที่แข็งแกร่ง ไม่สามารถพูดได้เพียงพอ จากจุดชมวิว SA มันเป็นด่านแรกของคุณ กฎง่าย ๆ ของฉันอย่าไปเลย 9 charaters ใช้ Specials และ Upper + Lower Case + Numbers ด้วย มันฟังดูยาก มันเป็นเรื่องง่าย. ตัวอย่าง ... 'H2O = O18 + o16 = water'I ใช้เคมีสำหรับรหัสผ่านบางรหัส H2O คือน้ำ แต่ O18 และ O16 เป็นออกซิเจนไอโซโทปที่แตกต่างกัน แต่ในท้ายที่สุดผลลัพธ์ก็คือน้ำมีอยู่ข้างหน้า "H2O = O18 + o16 = น้ำ '.. รหัสผ่านที่แข็งแกร่งไปกับมัน .. การร้องเรียนทั่วไปเป็นการจำมันไว้ . ดังนั้นจึงเรียกว่าคอมพิวเตอร์ / เซิร์ฟเวอร์ / เทอร์มินัล 'Waterboy' มันอาจช่วยได้

ฉันกำลังออกไปข้างนอก?!?!


0

คุณสามารถติดตั้งและเรียกใช้ ClamAV (softwarecenter) และตรวจสอบซอฟต์แวร์ที่เป็นอันตรายในคอมพิวเตอร์ของคุณ หากคุณมีไวน์ติดตั้ง: กำจัดมันผ่านทาง Synaptic (ลบออกทั้งหมด) และทำการติดตั้งใหม่หากจำเป็น

สำหรับบันทึก: มีซอฟต์แวร์ที่เป็นอันตรายน้อยมากสำหรับ Linux (ไม่ได้ผสมกับอดีตกับ Windows !!) ดังนั้นโอกาสที่ระบบของคุณจะถูกบุกรุกเกือบจะเป็นรหัสไปรษณีย์ คำแนะนำที่ดีคือ: เลือกรหัสผ่านที่คาดเดายากสำหรับรูทของคุณ (คุณสามารถเปลี่ยนได้อย่างง่ายดายหากจำเป็น)

ไม่ต้องกังวลกับ Ubuntu และซอฟต์แวร์ที่เป็นอันตราย อยู่ในสายของศูนย์ซอฟต์แวร์ / ไม่ติดตั้ง PPA แบบสุ่ม / ไม่ติดตั้ง. deb แพคเกจที่ไม่มีการรับประกันหรือภูมิหลังที่ผ่านการรับรอง; การทำเช่นนั้นระบบของคุณจะยังคงสะอาดอยู่โดยไม่เร่งรีบ

ขอแนะนำให้ลบทุกครั้งที่คุณปิดเบราว์เซอร์ Firefox (หรือ Chromium) สำหรับการลบคุกกี้ทั้งหมดและล้างประวัติของคุณ สิ่งนี้ตั้งค่าได้ง่าย


0

ย้อนกลับไปเมื่อฉันเรียกใช้เซิร์ฟเวอร์สาธารณะฉันจะติดตั้งในสภาพแวดล้อมที่ไม่ได้เชื่อมต่อเครือข่ายแล้วติดตั้ง Tripwire ไว้ที่ ( http://sourceforge.net/projects/tripwire/ )

Tripwire ตรวจสอบไฟล์ทั้งหมดในระบบและสร้างรายงานโดยทั่วไป คุณสามารถยกเว้นสิ่งที่คุณบอกว่าได้รับอนุญาตให้เปลี่ยน (เช่นล็อกไฟล์) หรือที่คุณไม่สนใจ (ไฟล์เมลตำแหน่งแคชของเบราว์เซอร์ ฯลฯ )

มันเป็นงานที่ต้องทำผ่านการรายงานและการตั้งค่า แต่มันก็ดีที่รู้ว่าหากไฟล์มีการเปลี่ยนแปลงและคุณไม่ได้ติดตั้งการอัปเดตเพื่อเปลี่ยนแปลงคุณรู้ว่ามีบางสิ่งที่ต้องตรวจสอบ ฉันไม่เคยต้องการทั้งหมดนี้ แต่ฉันดีใจที่เราใช้งานพร้อมกับซอฟต์แวร์ไฟร์วอลล์และการสแกนพอร์ตปกติของเครือข่าย

ในช่วง 10 ปีที่ผ่านมาฉันต้องบำรุงรักษาเครื่องส่วนตัวของฉันเท่านั้นและไม่มีใครสามารถเข้าถึงตัวตนหรือบัญชีในกล่องและไม่มีบริการสาธารณะ (หรือมีเหตุผลมากมายในการกำหนดเป้าหมายเครื่องของฉันโดยเฉพาะ) ฉันเป็น หละหลวมน้อยมากดังนั้นฉันไม่ได้ใช้ Tripwire ในปี ... แต่มันอาจเป็นสิ่งที่คุณกำลังมองหาเพื่อสร้างรายงานการเปลี่ยนแปลงไฟล์


0

สิ่งที่ดีที่สุดในสถานการณ์ของคุณคือรูปแบบรายสัปดาห์หรือสั้นกว่า ติดตั้งโปรแกรมเช่น spideroak เพื่อซิงค์ข้อมูลของคุณอย่างปลอดภัย วิธีนี้หลังจากทำการฟอร์แมตใหม่ทั้งหมดที่คุณต้องทำคือดาวน์โหลด spideroak และข้อมูลทั้งหมดของคุณจะกลับมา มันเคยง่ายกว่ากับ ubuntuone แต่ตอนนี้หายไป :(

btw: spideroak รับประกันความรู้ที่ไม่มีศูนย์หากคุณไม่เคยเข้าถึงไฟล์ของคุณบนเว็บไซต์ผ่านเว็บเซสชั่น คุณต้องใช้ซอฟต์แวร์ไคลเอ็นต์เท่านั้นเพื่อเข้าถึงข้อมูลและเปลี่ยนรหัสผ่านของคุณ

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.