ฉันจะหามัลแวร์ที่ติดตั้งในเครื่องได้จากที่ใด

ฉันต้องการวิเคราะห์กล่อง Ubuntu ของฉันเพื่อตรวจสอบว่ามันถูกแฮ็กหรือไม่ คำถามของฉันคืออะไรคือสถานที่ที่จะค้นพบทั้งหมดหากมีซอฟต์แวร์ที่เป็นอันตรายเริ่มต้นขึ้น ต่อไปนี้เป็นรายการดิบบางชนิด:

1. MBR
2. ภาพเคอร์เนล (ฉันมี md5)
3. / sbin / init (ฉันมี md5)
4. โมดูลเคอร์เนลใน / etc / modules
5. สคริปต์บริการทั้งหมดใน /etc/init.d และ / etc / init (ฉันมี md5)
6. /etc/rc.local
7. การทำงานอัตโนมัติของ gnome

และ

คำถามของฉันมีความซื่อสัตย์อย่างสมบูรณ์และไม่เป็นอันตราย เพียงเพื่อตรวจสอบว่ากล่องของฉันถูกบุกรุก

วัตถุประสงค์ของมัลแวร์คือการทำบางสิ่งบางอย่าง ดังนั้นจะต้องสื่อสารกับโลกภายนอก ดังนั้นวิธีที่ดีที่สุดคือดูปริมาณการใช้เครือข่ายที่เกิดขึ้นบนคอมพิวเตอร์ของคุณ

ฉันชอบโปรแกรมอรรถประโยชน์ dnstop ติดตั้งโดยsudo apt-get install dnstop

จากนั้นเรียกใช้ยูทิลิตีเทียบกับการ์ดเครือข่ายของคุณ

sudo dnstop -l 3 eth0

เมื่อยูทิลิตี้รันกดปุ่ม 3 สิ่งนี้จะเปลี่ยนหน้าจอเพื่อแสดงการร้องขอ DNS ทั้งหมดที่ทำโดยคอมพิวเตอร์ของคุณ

ในกรณีของฉันฉันไปที่ Ubuntu และพยายามเข้าถึงสิ่งต่อไปนี้

Query Name               Count      %   cum%
-------------------- --------- ------ ------
www.gravatar.com             2   40.0   40.0
askubuntu.com                2   40.0   80.0
ny.stackexchange.com         1   20.0  100.0

สิ่งนี้ทำให้ฉันเข้าใจว่ามีเว็บไซต์ใดบ้างที่เข้าถึงได้ สิ่งที่คุณต้องทำคือไม่ทำอะไรเลยนั่งรอสักครู่เพื่อดูว่าคอมพิวเตอร์ของคุณเข้าถึงอะไรบ้าง จากนั้นติดตามเว็บไซต์ทั้งหมดที่เข้าใช้อย่างลำบาก

มีเครื่องมือมากมายที่คุณสามารถใช้ได้ฉันคิดว่านี่เป็นเครื่องมือที่ง่ายสำหรับคุณที่จะลองใช้

คุณไม่มีทางรู้ได้เลยว่าพีซีของคุณติดไวรัสแล้วหรือยัง คุณอาจสามารถบอกได้ด้วยการฟังปริมาณข้อมูลที่มาจากคอมพิวเตอร์ของคุณ ด้านล่างเป็นสิ่งที่คุณสามารถทำได้เพื่อให้แน่ใจว่าระบบของคุณใช้ได้ โปรดทราบว่าไม่มีอะไรที่เป็น 100%

• ตรวจสอบให้แน่ใจว่าคุณไม่ได้เปิดใช้งานบัญชีรูท
• ตรวจสอบให้แน่ใจว่าคุณมีอัปเดตความปลอดภัยล่าสุดทันทีที่ออกมา
• อย่าติดตั้งซอฟต์แวร์ที่คุณรู้ว่าคุณแทบจะไม่เคยใช้เลย
• ตรวจสอบให้แน่ใจว่าระบบของคุณมีรหัสผ่านที่คาดเดายาก
• ปิดบริการหรือกระบวนการใด ๆ ที่ไม่จำเป็น
• ติดตั้ง AV ที่ดี (หากคุณต้องติดต่อกับ Windows เป็นอย่างมากหรืออาจเป็นอีเมลที่อาจมีไวรัสจาก Windows)

เท่าที่ทราบว่าคุณถูกแฮ็ค คุณจะได้รับโฆษณาป๊อปอัปเปลี่ยนเส้นทางไปยังไซต์ที่คุณไม่ต้องการเข้าชม ฯลฯ

ฉันจะต้องบอกว่า/sys /boot /etcในหมู่คนอื่นถือว่ามีความสำคัญ

มัลแวร์ลีนุกซ์สามารถตรวจจับได้โดยใช้เครื่องมือพิสูจน์หลักฐานหน่วยความจำเช่นความผันผวนหรือความผันผวน

นอกจากนี้คุณอาจต้องการดูทำไมฉันต้องใช้ซอฟต์แวร์ป้องกันไวรัส . หากคุณต้องการติดตั้งซอฟต์แวร์ป้องกันไวรัสฉันอยากจะแนะนำให้คุณติดตั้งClamAV

คุณสามารถลองrkhunterสแกนพีซีของคุณเพื่อหารูทคิทและม้าโทรจันจำนวนมาก

มีดิสทริบิวชันพิเศษเช่น BackTrack ที่มีซอฟต์แวร์เพื่อวิเคราะห์สถานการณ์เช่นคุณ เนื่องจากลักษณะพิเศษของเครื่องมือเหล่านี้มักจะมีเส้นโค้งการเรียนรู้ค่อนข้างสูงที่เกี่ยวข้องกับพวกเขา แต่ถ้านี่เป็นสิ่งที่คุณกังวลอย่างแท้จริงนั่นคือเวลาที่ใช้ไป

เห็นได้ชัดสำหรับคุณ (เพราะคนอื่นฉันจะพูดถึงมัน) ถ้าคุณใช้ระบบของคุณในฐานะ VM ดังนั้นความเสี่ยงของคุณมี จำกัด ปุ่มเปิด / ปิดจะช่วยแก้ไขบางอย่างในกรณีนั้นให้โปรแกรมอยู่ในกล่องนิรภัย (ต่อ ~ se) รหัสผ่านที่แข็งแกร่ง ไม่สามารถพูดได้เพียงพอ จากจุดชมวิว SA มันเป็นด่านแรกของคุณ กฎง่าย ๆ ของฉันอย่าไปเลย 9 charaters ใช้ Specials และ Upper + Lower Case + Numbers ด้วย มันฟังดูยาก มันเป็นเรื่องง่าย. ตัวอย่าง ... 'H2O = O18 + o16 = water'I ใช้เคมีสำหรับรหัสผ่านบางรหัส H2O คือน้ำ แต่ O18 และ O16 เป็นออกซิเจนไอโซโทปที่แตกต่างกัน แต่ในท้ายที่สุดผลลัพธ์ก็คือน้ำมีอยู่ข้างหน้า "H2O = O18 + o16 = น้ำ '.. รหัสผ่านที่แข็งแกร่งไปกับมัน .. การร้องเรียนทั่วไปเป็นการจำมันไว้ . ดังนั้นจึงเรียกว่าคอมพิวเตอร์ / เซิร์ฟเวอร์ / เทอร์มินัล 'Waterboy' มันอาจช่วยได้

ฉันกำลังออกไปข้างนอก?!?!

คุณสามารถติดตั้งและเรียกใช้ ClamAV (softwarecenter) และตรวจสอบซอฟต์แวร์ที่เป็นอันตรายในคอมพิวเตอร์ของคุณ หากคุณมีไวน์ติดตั้ง: กำจัดมันผ่านทาง Synaptic (ลบออกทั้งหมด) และทำการติดตั้งใหม่หากจำเป็น

สำหรับบันทึก: มีซอฟต์แวร์ที่เป็นอันตรายน้อยมากสำหรับ Linux (ไม่ได้ผสมกับอดีตกับ Windows !!) ดังนั้นโอกาสที่ระบบของคุณจะถูกบุกรุกเกือบจะเป็นรหัสไปรษณีย์ คำแนะนำที่ดีคือ: เลือกรหัสผ่านที่คาดเดายากสำหรับรูทของคุณ (คุณสามารถเปลี่ยนได้อย่างง่ายดายหากจำเป็น)

ไม่ต้องกังวลกับ Ubuntu และซอฟต์แวร์ที่เป็นอันตราย อยู่ในสายของศูนย์ซอฟต์แวร์ / ไม่ติดตั้ง PPA แบบสุ่ม / ไม่ติดตั้ง. deb แพคเกจที่ไม่มีการรับประกันหรือภูมิหลังที่ผ่านการรับรอง; การทำเช่นนั้นระบบของคุณจะยังคงสะอาดอยู่โดยไม่เร่งรีบ

ขอแนะนำให้ลบทุกครั้งที่คุณปิดเบราว์เซอร์ Firefox (หรือ Chromium) สำหรับการลบคุกกี้ทั้งหมดและล้างประวัติของคุณ สิ่งนี้ตั้งค่าได้ง่าย

ย้อนกลับไปเมื่อฉันเรียกใช้เซิร์ฟเวอร์สาธารณะฉันจะติดตั้งในสภาพแวดล้อมที่ไม่ได้เชื่อมต่อเครือข่ายแล้วติดตั้ง Tripwire ไว้ที่ ( http://sourceforge.net/projects/tripwire/ )

Tripwire ตรวจสอบไฟล์ทั้งหมดในระบบและสร้างรายงานโดยทั่วไป คุณสามารถยกเว้นสิ่งที่คุณบอกว่าได้รับอนุญาตให้เปลี่ยน (เช่นล็อกไฟล์) หรือที่คุณไม่สนใจ (ไฟล์เมลตำแหน่งแคชของเบราว์เซอร์ ฯลฯ )

มันเป็นงานที่ต้องทำผ่านการรายงานและการตั้งค่า แต่มันก็ดีที่รู้ว่าหากไฟล์มีการเปลี่ยนแปลงและคุณไม่ได้ติดตั้งการอัปเดตเพื่อเปลี่ยนแปลงคุณรู้ว่ามีบางสิ่งที่ต้องตรวจสอบ ฉันไม่เคยต้องการทั้งหมดนี้ แต่ฉันดีใจที่เราใช้งานพร้อมกับซอฟต์แวร์ไฟร์วอลล์และการสแกนพอร์ตปกติของเครือข่าย

ในช่วง 10 ปีที่ผ่านมาฉันต้องบำรุงรักษาเครื่องส่วนตัวของฉันเท่านั้นและไม่มีใครสามารถเข้าถึงตัวตนหรือบัญชีในกล่องและไม่มีบริการสาธารณะ (หรือมีเหตุผลมากมายในการกำหนดเป้าหมายเครื่องของฉันโดยเฉพาะ) ฉันเป็น หละหลวมน้อยมากดังนั้นฉันไม่ได้ใช้ Tripwire ในปี ... แต่มันอาจเป็นสิ่งที่คุณกำลังมองหาเพื่อสร้างรายงานการเปลี่ยนแปลงไฟล์

สิ่งที่ดีที่สุดในสถานการณ์ของคุณคือรูปแบบรายสัปดาห์หรือสั้นกว่า ติดตั้งโปรแกรมเช่น spideroak เพื่อซิงค์ข้อมูลของคุณอย่างปลอดภัย วิธีนี้หลังจากทำการฟอร์แมตใหม่ทั้งหมดที่คุณต้องทำคือดาวน์โหลด spideroak และข้อมูลทั้งหมดของคุณจะกลับมา มันเคยง่ายกว่ากับ ubuntuone แต่ตอนนี้หายไป :(

btw: spideroak รับประกันความรู้ที่ไม่มีศูนย์หากคุณไม่เคยเข้าถึงไฟล์ของคุณบนเว็บไซต์ผ่านเว็บเซสชั่น คุณต้องใช้ซอฟต์แวร์ไคลเอ็นต์เท่านั้นเพื่อเข้าถึงข้อมูลและเปลี่ยนรหัสผ่านของคุณ