Como posso detectar um keylogger no meu sistema?

Navegue suas respostas
45

Como eu poderia saber se há um keylogger no meu sistema, ou pelo menos se um deles está ativo agora?

    
por NaomiJO 30.07.2012 / 07:31

4 respostas

38

Um keylogger está funcionando agora?

  • Primeiro, vamos supor que você esteja usando um sistema Ubuntu padrão que o X instalou e que sempre esteve sob o controle de X - onde X é você mesmo ou alguém em quem você confia totalmente.

  • Como este é um sistema de estoque e todo o software foi instalado a partir dos repositórios oficiais, você pode ter certeza de que não há nenhum keylogger oculto , por exemplo, alguém modifica o kernel especialmente para espiar você de tal forma que é muito difícil de detectar.

  • Então, se um keylogger estiver em execução, o (s) processo (s) será (serão) visível (s). Tudo o que você precisa fazer é usar ps -aux ou htop para ver a lista de todos os processos em execução e descobrir se algo é suspeito.

    • Os keyloggers Linux "legítimos" mais comuns são lkl, uberkey, THC-vlogger, PyKeylogger, logkeys . logkeys é o único disponível nos repositórios do Ubuntu.

Eu baixei acidentalmente um keylogger trojan / virus ?

  • Normalmente, esse risco é mínimo no Ubuntu / Linux, devido aos privilégios (su) necessários.
  • Você pode tentar usar um detector de "rootkit", como Mitch observou em sua resposta.
  • Caso contrário, tudo se resume a análises forenses, como processos de rastreamento / depuração, análise de modificações de arquivos / timestamps entre inicializações, sniffing de atividade de rede, etc.

E se eu estiver em um sistema Ubuntu "não confiável"?

E se você estiver em uma internet / cybercafé, na biblioteca, no trabalho, etc.? Ou até mesmo um computador doméstico usado por muitos membros da família?

Bem, todas as apostas estão desativadas nesse caso. É bastante fácil espionar as suas teclas se alguém tiver habilidade / dinheiro / determinação suficientes:

  • Esses keyloggers ocultos que modificam o kernel e são quase impossíveis de serem introduzidos no sistema de outra pessoa são muito mais fáceis de introduzir quando você é o administrador de um laboratório de informática público e os coloca em seus próprios sistemas.
  • Existem keyloggers USB ou PS / 2 de hardware que ficam entre o teclado e o computador, registrando cada pressionamento de tecla na memória incorporada; eles podem estar escondidos dentro do teclado ou até mesmo dentro do gabinete do computador.
  • As câmeras podem ser posicionadas de modo que suas teclas sejam visíveis ou possam ser descobertas.
  • Se tudo mais falhar, um estado policial sempre pode enviar seus capangas depois que você forçá-lo a dizer a eles o que você estava escrevendo com uma arma: /

Assim, o melhor que você pode fazer com um sistema não confiável é pegar seu próprio Live-CD / Live-USB e usá-lo, usar seu próprio teclado sem fio e conectá-lo a uma porta USB diferente da que o próprio teclado do sistema está ativado (eliminando os registradores de hardware ocultos no teclado e aqueles na porta oculta no computador, na esperança de que eles não usem um registrador de hardware para cada porta em todo o sistema), aprenda a localizar as câmeras escondidos), e se você estiver em um estado policial, termine o que está fazendo e esteja em outro lugar em menos tempo do que o tempo de resposta da polícia local.

    
por ish 30.07.2012 / 12:43
9

Eu só quero colocar algo que eu não sabia que existia no Linux: Secure Text Input.

No xterm, Ctrl + clique em - > "Teclado Seguro". Isso faz uma solicitação para isolar as combinações de teclas do xterm de outros aplicativos x11. Isso não impede os registradores de kernel, mas é apenas um nível de proteção.

    
por andychase 04.12.2013 / 21:15
7

Sim, o Ubuntu pode ter um keylogger. É muito improvável, mas pode acontecer. Ele pode ser explorado por meio de um navegador e um invasor pode executar o código com seus privilégios de usuário. Pode usar serviços de início automático que executam programas no login. Qualquer programa pode obter códigos de varredura de teclas pressionadas no X Window System. É facilmente demonstrado com o comando xinput . Consulte o isolamento da GUI para obter mais detalhes. 1

Os keyloggers de chaves precisam ter acesso root antes de poderem monitorar o teclado. a menos que eles não tenham esse privilégio, eles não podem executar um registrador de chaves. A única coisa que você pode fazer é verificar os rootkits. Para fazer isso, você pode usar o CHKROOTKIT

1 Fonte: superuser.com

    
por Mitch 30.07.2012 / 10:21
1

Os keyloggers Linux podem ser feitos em idiomas compatíveis com o sistema e exigiriam o uso de armazenamento de arquivos local para gravar esses dados e, se programado para isso, se você tiver um keylogger que foi manualmente programado ou baixado para trabalhar com este sistema operacional, então ele pode realmente ser um arquivo, possivelmente renomeado para se parecer com um arquivo de sistema, em qualquer lugar do sistema.

A última vez que criei / tive um keylogger no meu sistema, esta era a situação e era fácil de detectar e remover, mas incluía manualmente encontrar a fonte e isso levou um pouco de tempo.

Se você tiver um keylogger desse tipo, eu tentaria localizá-lo e removê-lo, mas se for realmente algo que foi baixado ou instalado, considero isso altamente improvável, já que o Linux é um sistema operacional seguro que normalmente é não suspeitar de formas de vírus que você normalmente encontraria em sistemas Windows.

    
por cossacksman 20.06.2013 / 01:08

Tags

Onde os comandos de inicialização são armazenados? “CRÍTICO: Nós falhamos, mas a falha da baleia está morta. Desculpa…"