Onde posso procurar malware que possa ter sido instalado em minha máquina?

Navegue suas respostas
23

Eu quero analisar minha caixa do Ubuntu para detectar se ele foi invadido. A minha pergunta é: qual é o lugar onde procurar descobrir se algum software malicioso é iniciado? O seguinte é algum tipo de lista bruta:

  1. mbr
  2. imagem do kernel (eu tenho md5)
  3. / sbin / init (eu tenho md5)
  4. Módulos do kernel em / etc / modules
  5. todo o script de serviços em /etc/init.d e / etc / init (eu tenho md5)
  6. /etc/rc.local
  7. gnome autorun

e

Minha pergunta é totalmente honesta e não maliciosa. É apenas para detectar se minha caixa foi comprometida.

    
por Luigi 23.05.2013 / 10:33

8 respostas

24

O objetivo do malware é fazer alguma coisa. Por isso, precisará se comunicar com o mundo exterior. Portanto, a melhor abordagem é dar uma olhada no tráfego de rede que está ocorrendo em seu computador.

Eu gosto do utilitário dnstop. Instale por sudo apt-get install dnstop

Em seguida, execute o utilitário na sua placa de rede 

sudo dnstop -l 3 eth0

Quando o utilitário é executado pressione a tecla 3, isso irá mudar a tela para exibir todos os pedidos de DNS que são feitos pelo seu computador.

No meu caso eu fui ao Ubuntu e tentei acessar o seguinte 

Query Name               Count      %   cum%
-------------------- --------- ------ ------
www.gravatar.com             2   40.0   40.0
askubuntu.com                2   40.0   80.0
ny.stackexchange.com         1   20.0  100.0

Isso me dá uma ideia de quais sites foram acessados. O que você precisa fazer é não fazer nada e sentar e esperar um pouco para ver o que seu computador acessa. Em seguida, trabalhe com cuidado em todos os sites que acessa.

Existem muitas ferramentas que você pode usar, achei que foi fácil para você experimentar.

    
por Meer Borg 23.05.2013 / 11:18
6

Você nunca pode saber se o seu PC já está infectado ou não. Você pode ser capaz de ouvir o tráfego proveniente do seu computador. Abaixo está algo que você pode fazer para garantir que seu sistema está OK. Tenha em mente que nada é 100%.

  • Certifique-se de não ativar a conta raiz
  • Verifique se você tem as atualizações de segurança mais recentes assim que elas sair
  • Não instale o software que você sabe que raramente ou nunca usará
  • Certifique-se de que seu sistema tenha senhas strongs
  • Desative quaisquer serviços ou processos que não sejam necessários
  • Instale um bom antivírus (se você estiver lidando muito com o Windows ou com um e-mail que possa conter um vírus baseado no Windows.)

Até onde descobrir se você foi hackeado; você receberá anúncios pop-up, redireciona para sites que não pretendia visitar, etc.

Eu teria que dizer que /sys /boot /etc entre outros são considerados importantes.

O malware do Linux também pode ser detectado usando ferramentas forenses de memória, como Volatilidade ou Volatilidade

Você também pode querer consultar Por que preciso de um software antivírus? . Se você quiser instalar um software antivírus, eu recomendo que você instale o ClamAV

    
por Mitch 23.05.2013 / 11:12
3

Você também pode tentar o rkhunter , que verifica o seu pc em busca de muitos rootkits e cavalos de Tróia.

    
por Cyril Laury 23.05.2013 / 11:54
1

Existem distribuições especializadas, como o BackTrack, que contêm software para analisar situações como a sua. Devido à natureza altamente especializada dessas ferramentas, geralmente há uma curva de aprendizado bastante acentuada associada a elas. Mas então, se isso é realmente uma preocupação para você, é tempo bem gasto.

    
por hmayag 23.05.2013 / 11:17
1

É óbvio para você (para o bem de outras pessoas, eu vou mencionar isso) se você está executando o seu sistema como uma VM, então o seu potencial de risco é limitado. O botão liga / desliga corrige nesse caso. Mantenha os programas dentro de sua caixa de proteção (per ~ se). Senhas strongs. Não posso dizer o suficiente. De um ponto de vista de SA, é sua defesa de primeira linha. Minha regra de ouro, não goste de 9 charaters, use Specials, e Upper + Lower case + Numbers também. Parece muito certo. É fácil. Exemplo ... 'H2O = O18 + o16 = water'Eu uso chemestry para algumas senhas intersting. H2O é a água, mas o O18 e O16 são diferentes isótopos de oxigênio, mas no final, o resultado é a água, então "H2O = O18 + o16 = água" .. Forte pasword. Reclamação comum é remebering isto. Então chame esse computador / servidor / terminal 'Waterboy' Pode ajudar.

Estou nerding fora?!?!

    
por user161464 24.05.2013 / 17:23
0

você pode instalar e executar o ClamAV (softwarecenter) e verificar se há algum software malicioso no seu computador. Se você tiver o Wine instalado: limpe-o via Synaptic (remoção completa) e faça uma reinstalação se necessário.

Para o registro: há muito poucos softwares maliciosos para o Linux (não misture isso com um passado com o Windows !!), então a chance de o seu sistema ficar comprometido é quase zero. Um bom conselho é: escolha uma senha strong para sua raiz (você pode facilmente mudar isso se for necessário).

Não fique paranóico sobre o Ubuntu e softwares maliciosos; permanecer dentro das linhas do softwarecenter / não instalar PPAs aleatórios / não instalar pacotes .deb que não tenham garantias nem fundos certificados; Fazendo isso, seu sistema permanecerá limpo sem um hastle.

Também é aconselhável remover cada vez que você fecha seu navegador Firefox (ou Chromium) para excluir todos os cookies e limpar seu histórico; isso é facilmente definido nas preferências.

    
por Joris Donders 23.05.2013 / 11:12
0

De volta, quando eu executava servidores públicos, eu os instalava em um ambiente sem rede e, em seguida, instava o Tripwire neles ( link ).

O Tripwire basicamente verifica todos os arquivos no sistema e gera relatórios. Você pode excluir os que você diz que têm permissão para alterar (como arquivos de log) ou que você não se importa (arquivos de mensagens, locais de cache do navegador, etc.).

Foi muito trabalho passar pelos relatórios e configurá-lo, mas foi bom saber que, se um arquivo fosse alterado, e você não instalasse uma atualização para alterá-lo, você sabia que havia algo que precisava ser investigado. Eu nunca precisei de tudo isso, mas estou feliz que o tenhamos executado junto com o software de firewall e as varreduras regulares de portas da rede.

Durante os últimos 10 anos ou mais, tive apenas que manter minha máquina pessoal, e ninguém mais ter acesso físico ou contas na caixa e nenhum serviço público (ou muita razão para segmentar minha máquina especificamente). Estou um pouco mais relaxado, por isso não uso o Tripwire há anos ... mas pode ser algo que você está procurando para gerar relatórios de alterações de arquivos.

    
por user173411 08.07.2013 / 04:13
0

A melhor coisa a fazer no seu cenário é o formato semanal ou mais curto. Instale um programa como spideroak para sincronizar seus dados com segurança. Dessa forma, depois de reformatar tudo o que você precisa fazer é baixar spideroak e todos os seus dados retornam. Costumava ser mais fácil com o ubuntuone, mas agora se foi: (

btw: spideroak só garante conhecimento zero se você nunca acessar seus arquivos em seu site por meio de uma sessão da web. você deve usar apenas o cliente de software para acessar dados e alterar sua senha.

    
por kris 27.07.2014 / 06:06

Tags

Como formatar uma unidade USB ou externa? Existe uma lista abrangente de atalhos de teclado mupdf?