Pertanyaan Di mana saya dapat mencari malware yang mungkin telah diinstal di komputer saya?


Saya ingin menganalisis kotak ubuntu saya untuk mendeteksi apakah sudah diretas. Pertanyaan saya adalah: apa semua tempat di mana mencari untuk menemukan apakah beberapa perangkat lunak berbahaya dimulai? Berikut ini adalah beberapa jenis daftar mentah:

  1. mbr
  2. image kernel (saya punya md5)
  3. / sbin / init (Saya punya md5)
  4. Modul Kernel di / etc / modules
  5. semua skrip layanan di /etc/init.d dan / etc / init (Saya punya md5)
  6. /etc/rc.local
  7. gnome autorun

dan?

Pertanyaan saya benar-benar jujur ​​dan tidak jahat. Ini hanya untuk mendeteksi jika kotak saya telah dikompromikan.


23
2018-05-23 08:33


asal




Jawaban:


Tujuan dari malware adalah melakukan sesuatu. Jadi itu perlu berkomunikasi dengan dunia luar. Jadi pendekatan terbaik adalah dengan melihat lalu lintas jaringan yang terjadi di komputer Anda.

Saya suka utilitas dnstop. Instal oleh sudo apt-get install dnstop

Kemudian jalankan utilitas terhadap kartu jaringan Anda

sudo dnstop -l 3 eth0

Ketika utilitas menjalankan tekan tombol 3, ini akan mengubah layar untuk menampilkan semua permintaan dns yang dibuat oleh komputer Anda.

Dalam kasus saya, saya pergi ke Ubuntu dan mencoba mengakses berikut ini

Query Name               Count      %   cum%
-------------------- --------- ------ ------
www.gravatar.com             2   40.0   40.0
askubuntu.com                2   40.0   80.0
ny.stackexchange.com         1   20.0  100.0

Ini memberi saya gambaran tentang apa situs web yang diakses. Yang perlu Anda lakukan adalah tidak melakukan apa-apa dan duduk kembali dan menunggu beberapa saat untuk melihat apa yang diakses komputer Anda. Kemudian dengan susah payah menindaklanjuti semua situs web yang diaksesnya.

Ada banyak alat yang bisa Anda gunakan, saya pikir ini adalah mudah bagi Anda untuk mencoba.


24
2018-05-23 09:18



uhmm Saya pikir bahwa rootkit yang paling bodoh menyembunyikan dirinya dan lalu lintasnya. - Luigi
@ Luigi seperti yang saya katakan, ada banyak alat untuk analisis forensik. Jika. Anda yang khawatir menggunakan Wireshark dan melihat lalu lintas di segmen jaringan Anda yang sangat tidak mungkin untuk dipalsukan saat Anda bekerja di tingkat perangkat keras. Jika Anda lebih paranoid, Anda dapat menjalankan Wireshark di komputer yang bersih di segmen Anda. - Meer Borg
ok, tapi saya pikir cara terbaik adalah menganalisis sistem offline dengan livecd. Saya pikir itu lebih mudah karena malware pintar dapat mengirim informasi di luar hanya jika ada aliran data lain, atau dapat mengirim info pada saluran rahasia. - Luigi
@ Luigi dan bagaimana Anda menetapkan yang mana dari ribuan program yang telah dikompromikan? Menjalankan md5 hash terhadap sistem yang bersih dan membandingkannya dengan sistem Anda? Pilihan terbaik adalah dengan menghapus komputer, mbr, bahkan membuang hard disk? Bios? Banyak vektor serangan. Ini adalah pekerjaan yang sulit, dan Anda tampaknya mendapat banyak informasi. Tapi apa yang membuat Anda percaya bahwa Anda telah terinfeksi oleh "virus" super siluman ini? - Meer Borg
Kebanyakan distro linux memiliki hampir semua md5 dari file yang terkandung dalam paket. Misalnya di Ubuntu ada debsums. Jadi sangat mudah melakukan pemeriksaan besar pada sistem penuh. Tetapi tentu saja beberapa file tidak di-hash .. misalnya mbr. Tetapi gambar kernel dan semua modul memiliki md5 (dan sha1 atau sha256 untuk menghindari tabrakan md5), dan sama untuk / sbin / init. Saya hanya untuk memeriksa hanya barang-barang yang tidak memiliki hash tetapi saya harus tahu dalam sangat dalam proses boot. - Luigi


Anda tidak pernah tahu apakah PC Anda sudah terinfeksi atau tidak. Anda mungkin bisa tahu dengan mendengarkan lalu lintas yang datang dari komputer Anda. Di bawah ini adalah sesuatu yang dapat Anda lakukan untuk memastikan bahwa sistem Anda baik-baik saja. Perlu diingat bahwa tidak ada yang 100%.

  • Pastikan Anda tidak mengaktifkan akun root
  • Pastikan Anda memiliki pembaruan keamanan terbaru secepatnya keluar
  • Jangan instal perangkat lunak yang Anda tahu tidak akan pernah Anda gunakan
  • Pastikan bahwa sistem Anda memiliki kata sandi yang kuat
  • Matikan semua layanan atau proses yang tidak diperlukan
  • Instal AV yang baik (jika Anda akan berurusan banyak dengan Windows, atau mungkin email yang mungkin berisi virus berbasis Windows.)

Sejauh mengetahui apakah Anda telah diretas; Anda akan mendapatkan iklan pop-up, arahan ulang ke situs yang tidak ingin Anda kunjungi, dll.

Saya harus mengatakan itu /sys  /boot  /etc antara lain dianggap penting.

Malware Linux juga dapat dideteksi menggunakan alat forensik memori, seperti Keriangan atau Keriangan

Anda juga mungkin ingin melihatnya Mengapa saya perlu perangkat lunak anti-virus?. Jika Anda ingin menginstal perangkat lunak Anti-virus, saya sarankan Anda memasangnya ClamAV


6
2018-05-23 09:12





Anda juga bisa mencoba rkhunter yang memindai pc Anda untuk banyak rootkit umum dan trojan horse.


3
2018-05-23 09:54



rkhunter hanya mendeteksi rootkit yang diketahui, selanjutnya sangat mudah untuk mengambil rootkit publik dan mengubah sumber membuatnya tidak terdeteksi dari rkhunter .. - Luigi


Ada distribusi khusus seperti BackTrack yang berisi perangkat lunak untuk menganalisis situasi seperti milik Anda. Karena sifat yang sangat khusus dari alat-alat ini biasanya ada kurva belajar yang cukup curam yang terkait dengan mereka. Tapi kemudian jika ini benar-benar menjadi perhatian Anda, itu adalah waktu yang dihabiskan dengan baik.


1
2018-05-23 09:17



Saya tahu mundur, tetapi tidak ada perangkat lunak yang membuat pemeriksaan semacam itu secara otomatis. - Luigi
@ Luigi Jika semudah itu saya akan menjadi analis keamanan / forensik TI dengan gaji enam digit ... - hmayag


Sudah jelas bagi Anda (untuk orang lain karena saya akan menyebutkannya) jika Anda menjalankan sistem Anda sebagai VM maka potensi Anda potental terbatas. Tombol daya memperbaiki hal dalam kasus itu, Simpan program di dalam kotak pasir mereka (per ~ se). Sandi yang kuat. Tidak bisa mengatakannya cukup. Dari titik pandang SA, ini adalah pertahanan lini pertama Anda. Aturan mainanku, jangan sampai mencuri 9 karakter, gunakan Specials, dan Upper + Lower case + Numbers juga. Kedengarannya sulit benar. Mudah. Contoh ... 'H2O = O18 + o16 = water'I menggunakan chemestry untuk beberapa kata sandi intersting. H2O adalah air, tetapi O18 dan O16 adalah isotop Oksigen yang berbeda, tetapi pada akhirnya, ada hasil adalah air, sehingga kedepan "H2O = O18 + o16 = air '.. Kuat pasword. Pergilah dengan itu .. Keluhan umum adalah mengingatnya. JADI sebut itu komputer / server / terminal 'Waterboy' Ini dapat membantu.

Apakah saya mengoceh?!?!


1
2018-05-24 15:23





Anda dapat menginstal dan menjalankan ClamAV (softwarecenter) dan memeriksa perangkat lunak berbahaya di komputer Anda. Jika Anda memiliki Wine yang terinstal: bersihkan melalui Synaptic (penghapusan lengkap), dan lakukan instal ulang jika nessecary.

Sebagai catatan: ada sangat sedikit perangkat lunak berbahaya untuk Linux (jangan mencampurnya dengan masa lalu dengan Windows !!), sehingga kemungkinan sistem Anda terganggu hampir zip. Saran yang baik adalah: pilih kata sandi yang kuat untuk root Anda (Anda dapat dengan mudah mengubah itu jika nessecary).

Jangan sampai paranoïd tentang Ubuntu dan perangkat lunak berbahaya; tetap berada dalam garis softwarecenter / jangan instal PPA acak / jangan instal .deb-paket yang tidak memiliki jaminan atau latar belakang bersertifikat; dengan demikian sistem Anda akan tetap bersih tanpa tergesa-gesa.

Juga disarankan untuk menghapus setiap kali Anda menutup Firefox-browser (atau Chromium) karena menghapus semua cookie dan membersihkan riwayat Anda; ini mudah diatur dalam preferensi.


0
2018-05-23 09:12





Kembali ketika saya menjalankan server publik, saya akan menginstalnya di lingkungan non-jaringan dan kemudian menginstal Tripwire pada mereka (http://sourceforge.net/projects/tripwire/).

Tripwire pada dasarnya memeriksa semua file pada sistem dan menghasilkan laporan. Anda dapat mengecualikan orang yang Anda ucapkan diperbolehkan untuk berubah (seperti file log) atau yang tidak Anda pedulikan (file email, lokasi cache browser, dll).

Banyak pekerjaan yang dilakukan melalui laporan dan pengaturannya, tetapi senang mengetahui bahwa jika sebuah file berubah, dan Anda tidak menginstal pembaruan untuk mengubahnya, Anda tahu ada sesuatu yang perlu diselidiki. Saya tidak pernah benar-benar membutuhkan semua ini, tapi saya senang kami menjalankannya bersama dengan perangkat lunak firewall dan pemindaian port reguler dari jaringan.

Selama 10 tahun terakhir saya hanya harus memelihara mesin pribadi saya, dan tanpa ada orang lain yang memiliki akses fisik atau akun di kotak, dan tidak ada layanan publik (atau banyak alasan untuk menargetkan mesin saya secara khusus) saya sedikit lebih longgar sehingga saya tidak menggunakan Tripwire dalam beberapa tahun ... tetapi mungkin ada sesuatu yang Anda cari untuk menghasilkan laporan perubahan file.


0
2017-07-08 02:13





Hal terbaik yang harus dilakukan dalam skenario Anda adalah format mingguan atau lebih pendek. Instal program seperti spideroak untuk menyinkronkan data Anda dengan aman. Dengan begitu setelah memformat yang harus Anda lakukan adalah mengunduh spideroak dan semua data Anda kembali. Dulu lebih mudah dengan ubuntu tapi itu pergi sekarang :(

btw: spideroak hanya menjamin pengetahuan nol jika Anda tidak pernah mengakses file Anda di situs mereka melalui sesi web. Anda harus menggunakan hanya klien perangkat lunak mereka untuk mengakses data dan mengubah kata sandi Anda.


0
2017-07-27 04:06