Script de Shell de detecção de malware e backdoor

Navegue suas respostas
4

Estou tentando criar um script de shell que detecte malware, backdoors e rootkits automaticamente, e estou tentando pesquisá-lo. Eu encontrei algumas coisas como 

find . -name “*.js” | xargs grep -l “eval(unescape”
find . -name “*.php” | xargs grep -l “eval(base64_decode”

Mas eu não encontro apenas estes relevantes apenas para encontrar arquivos .php e .js e tentar ver se é composto por malware. Alguém pode me ajudar a dar uma idéia geral que eu possa usar para o script para que ele possa fazer o trabalho de detecção de malware, backdoors e rootkits. Mais precisamente para dizer como se pode encontrar esses malwares, backdoors e rootkits em um sistema Ubuntu. Obrigado.

    
por Tarun 29.07.2013 / 08:28

1 resposta

5

Você pergunta sobre três coisas diferentes ...

  1. kits de raiz;
  2. backdoors;
  3. Malware.

Kits de raiz

A maioria dos rootkits usa o kernel para se esconder e eles só são visíveis dentro do kernel.

Se você quiser saber como encontrá-los, por que não usar o poder do código aberto e instalar o rkhunter e ver como eles o fazem? Você pode encontrar a fonte aqui .

Além disso, o CERT tem uma explicação completa. sobre o que procurar quando se lida com kits de raiz. Destaques do link:

  • Examine arquivos de log para conexões de locais incomuns ou outras atividades incomuns

  • Procure arquivos setuid e setgid (especialmente arquivos raiz setuid) em todo o sistema 

    find / -user root -perm -4000 -print
find / -group kmem -perm -2000 -print

  • Verifique os binários do seu sistema para se certificar de que eles não foram alterados.

  • Examine todos os arquivos que são executados por 'cron' e 'at.'
  • Verifique se há serviços não autorizados.
  • Examine o arquivo / etc / passwd no sistema e verifique se há modificações nesse arquivo.
  • Verifique os arquivos de configuração do sistema e da rede em busca de entradas não autorizadas.
  • Procure em todo lugar no sistema arquivos incomuns ou ocultos (arquivos que começam com um ponto e normalmente não são mostrados por 'ls').

A maioria deles pode ser feita a partir da linha de comando.

Também vale a pena ler:

Backdoors

O problema com backdoors é que geralmente são falhas no software que são abusadas. O conjunto básico de regras ...

  1. instale imediatamente as atualizações de segurança quando você for notificado;
  2. não instale antivírus, pois você realmente não precisa dele no Linux; a menos que você compartilhe arquivos com o Windows
  3. habilitar o firewall (sudo ufw enable) sem mais ajustes;
  4. cumpra o repo oficial o máximo possível, e só desvie-o quando for estritamente necessário e com muita cautela;
  5. mantenha o Java (ambos openJDK e Oracle Java) desativado por padrão em seu navegador e ative-o somente quando necessário;
  6. use o Wine com cuidado;
  7. e mais importante de tudo: use o bom senso. A maior ameaça à segurança é geralmente encontrada entre o teclado e a cadeira.

Vale a pena ler:

Malware

Digitalize /etc/hosts para endereços IP estranhos e nomes de host. Se você olhar para estes:

uma extensão do navegador ou uma alteração para /etc/hosts é a causa.

Também uma boa leitura é:

por Rinzwind 29.07.2013 / 09:05

Tags

Problema ao criar um projeto Qt5 com o QWebKit Ícones ausentes no menu de contexto no Ubuntu 12.04