Di mana saya dapat mencari malware yang mungkin telah diinstal pada mesin saya?

23

Saya ingin menganalisis kotak ubuntu saya untuk mendeteksi apakah itu diretas. Pertanyaan saya adalah: apa saja tempat untuk mencari tahu jika beberapa perangkat lunak berbahaya dimulai? Berikut ini adalah semacam daftar mentah:

  1. mbr
  2. kernel image (saya punya md5)
  3. / sbin / init (Saya punya md5)
  4. Modul kernel di / etc / modules
  5. semua skrip layanan di /etc/init.d dan / etc / init (saya punya md5)
  6. /etc/rc.local
  7. gnome autorun

dan?

Pertanyaan saya benar-benar jujur ​​dan tidak berbahaya. Ini hanya untuk mendeteksi apakah kotak saya dikompromikan.

boot security malware Luigi
sumber

Jawaban:

25

Tujuan malware adalah untuk melakukan sesuatu. Jadi perlu berkomunikasi dengan dunia luar. Jadi pendekatan terbaik adalah dengan melihat lalu lintas jaringan yang terjadi di komputer Anda.

Saya suka utilitas dnstop. Pasang olehsudo apt-get install dnstop

Kemudian jalankan utilitas terhadap kartu jaringan Anda 

sudo dnstop -l 3 eth0

Ketika utilitas berjalan tekan tombol 3, ini akan mengubah layar untuk menampilkan semua permintaan dns yang dibuat oleh komputer Anda.

Dalam kasus saya, saya pergi ke Ubuntu dan mencoba mengakses yang berikut

Query Name               Count      %   cum%
-------------------- --------- ------ ------
www.gravatar.com             2   40.0   40.0
askubuntu.com                2   40.0   80.0
ny.stackexchange.com         1   20.0  100.0

Ini memberi saya ide tentang situs web apa yang diakses. Yang perlu Anda lakukan adalah tidak melakukan apa-apa dan duduk dan tunggu sebentar untuk melihat apa yang diakses komputer Anda. Kemudian dengan susah payah menindaklanjuti semua situs web yang diaksesnya.

Ada banyak alat yang bisa Anda gunakan, saya pikir ini mudah untuk Anda coba.

Meer Borg
sumber
uhmm Saya pikir rootkit yang paling bodoh menyembunyikan dirinya sendiri dan lalu lintasnya.
Luigi
@Luigi seperti yang saya katakan, ada banyak alat untuk analisis forensik. Jika. Anda yang khawatir menggunakan Wireshark dan melihat lalu lintas di segmen jaringan Anda yang tidak mungkin dipalsukan karena Anda bekerja di tingkat perangkat keras. Jika Anda lebih paranoid, Anda bisa menjalankan Wireshark di komputer yang bersih di segmen Anda.
Meer Borg
ok, tapi saya pikir cara terbaik adalah menganalisis sistem offline oleh livecd. Saya pikir ini lebih mudah karena malware yang cerdik dapat mengirim informasi ke luar hanya jika ada aliran data lain, atau dapat mengirim info pada saluran rahasia.
Luigi
@Luigi dan bagaimana Anda menetapkan salah satu dari ribuan program yang telah dikompromikan? Menjalankan hash MD5 terhadap sistem yang bersih dan membandingkannya dengan sistem Anda? Pilihan terbaik adalah menghapus komputer, mbr, bahkan membuang hard disk? Bios? Banyak vektor serangan. Ini adalah pekerjaan yang sulit, dan Anda tampaknya mendapat informasi dengan baik. Tapi apa yang membuat Anda percaya bahwa Anda telah terinfeksi oleh "virus" super siluman ini?
Meer Borg
1
Kebanyakan distro linux memiliki hampir semua md5 file yang ada dalam paket. Misalnya di Ubuntu ada debsums. Jadi cukup mudah melakukan pengecekan besar terhadap sistem lengkap. Tetapi tentu saja beberapa file tidak hash .. misalnya mbr. Tetapi kernel image dan semua modul memiliki md5 (dan sha1 atau sha256 untuk menghindari tabrakan md5), dan hal yang sama untuk / sbin / init. Saya hanya perlu memeriksa hanya hal-hal yang tidak hash tapi saya harus tahu secara mendalam tentang proses boot.
Luigi
6

Anda tidak akan pernah tahu apakah PC Anda sudah terinfeksi atau belum. Anda mungkin dapat mengetahui dengan mendengarkan lalu lintas yang datang dari komputer Anda. Di bawah ini adalah sesuatu yang dapat Anda lakukan untuk memastikan bahwa sistem Anda OK. Perlu diingat bahwa tidak ada yang 100%.

  • Pastikan Anda tidak mengaktifkan akun root
  • Pastikan Anda memiliki pembaruan keamanan terbaru segera setelah keluar
  • Jangan menginstal perangkat lunak yang Anda tahu hampir tidak akan atau tidak pernah Anda gunakan
  • Pastikan sistem Anda memiliki kata sandi yang kuat
  • Matikan semua layanan atau proses yang tidak diperlukan
  • Instal AV yang baik (jika Anda akan banyak berurusan dengan Windows, atau mungkin email yang mungkin mengandung virus berbasis Windows.)

Sejauh mengetahui apakah Anda diretas; Anda akan mendapatkan iklan pop-up, pengalihan ke situs yang tidak ingin Anda kunjungi, dll.

Saya harus mengatakan bahwa /sys /boot /etcantara lain dianggap penting.

Malware Linux juga dapat dideteksi menggunakan alat forensik memori, seperti Volatilitas atau Volatilitas

Anda juga mungkin ingin melihat Mengapa saya perlu perangkat lunak anti-virus? . Jika Anda ingin menginstal perangkat lunak Anti-virus, saya sarankan Anda menginstal ClamAV

Mitch
sumber
3

Anda juga dapat mencoba rkhunteryang memindai komputer Anda untuk banyak rootkit dan trojan horse.

Cyril Laury
sumber
rkhunter hanya mendeteksi rootkit yang dikenal, terlebih lagi sangat mudah untuk mengambil rootkit publik dan mengubah sumbernya sehingga tidak terdeteksi dari rkhunter ..
Luigi
1

Ada distribusi khusus seperti BackTrack yang berisi perangkat lunak untuk menganalisis situasi seperti milik Anda. Karena sifat yang sangat khusus dari alat ini biasanya ada kurva belajar yang cukup curam yang terkait dengannya. Tetapi jika ini benar-benar menjadi perhatian Anda, itu menghabiskan waktu dengan baik.

hayag
sumber
Saya tahu mundur, tetapi tidak ada perangkat lunak yang secara otomatis melakukan pemeriksaan semacam itu.
Luigi
@Luigi Jika semudah itu saya akan menjadi analis keamanan / forensik TI dengan gaji enam digit ...
hmayag
1

Sudah jelas bagi Anda (demi orang lain saya akan menyebutkannya) jika Anda menjalankan sistem Anda sebagai VM maka potensi risiko Anda terbatas. Tombol Power memperbaiki hal dalam hal itu, Simpan program di dalam kotak pasir mereka (per ~ se). Kata sandi yang kuat Saya tidak bisa mengatakannya dengan cukup. Dari sudut pandang SA, ini adalah pertahanan lini pertama Anda. Aturan praktis saya, jangan pergi ke atas 9 karakter, gunakan Spesial, dan huruf besar + huruf kecil juga angka. Kedengarannya sulit, benar. Mudah. Contoh ... 'H2O = O18 + o16 = air' Saya menggunakan chemestry untuk beberapa kata sandi yang bersilangan. H2O adalah air, tetapi O18 dan O16 berbeda isotop Oksigen, tetapi pada akhirnya, ada air, karena itu "H2O = O18 + o16 = air '.. Pasword yang kuat. Ikuti dengan itu .. Keluhan umum adalah mengingatnya SEHINGGA panggilan komputer / server / terminal 'Waterboy' Mungkin membantu.

Apakah saya ngiler?!?!

pengguna161464
sumber
0

Anda dapat menginstal dan menjalankan ClamAV (softwarecenter) dan memeriksa perangkat lunak berbahaya di komputer Anda. Jika Anda memasang Wine: bersihkan melalui Synaptic (hapus sepenuhnya), dan lakukan instal ulang jika perlu.

Sebagai catatan: ada sangat sedikit perangkat lunak berbahaya untuk Linux (jangan campur dengan masa lalu dengan Windows !!), sehingga kemungkinan sistem Anda terganggu hampir zip. Saran yang baik adalah: pilih kata sandi yang kuat untuk root Anda (Anda dapat dengan mudah mengubahnya jika perlu).

Jangan paranoid tentang Ubuntu dan perangkat lunak berbahaya; tetap berada dalam garis softwarecenter / jangan menginstal PPA acak / jangan menginstal. deb-paket yang tidak memiliki jaminan atau latar belakang bersertifikat; melakukannya sistem Anda akan tetap bersih tanpa tergesa-gesa.

Disarankan juga untuk menghapus setiap kali Anda menutup browser Firefox (atau Chromium) karena semua cookie dihapus dan bersihkan riwayat Anda; ini mudah diatur dalam preferensi.

Joris Donders
sumber
0

Kembali ketika saya menjalankan server publik, saya akan menginstalnya di lingkungan non-jaringan dan kemudian menginstal Tripwire pada mereka ( http://sourceforge.net/projects/tripwire/ ).

Tripwire pada dasarnya memeriksa semua file pada sistem dan menghasilkan laporan. Anda dapat mengecualikan yang menurut Anda diizinkan untuk diubah (seperti file log) atau yang tidak Anda pedulikan (file email, lokasi cache browser, dll).

Banyak pekerjaan yang harus dilakukan melalui laporan dan pengaturannya, tetapi senang mengetahui bahwa jika suatu file berubah, dan Anda tidak menginstal pembaruan untuk mengubahnya, Anda tahu ada sesuatu yang perlu diselidiki. Saya tidak pernah benar-benar membutuhkan semua ini, tapi saya senang kami menjalankannya bersama dengan perangkat lunak firewall dan pemindaian port reguler pada jaringan.

Selama 10 tahun terakhir ini saya hanya perlu merawat mesin pribadi saya, dan tanpa ada orang lain yang memiliki akses fisik atau akun di kotak, dan tidak ada layanan publik (atau banyak alasan untuk menargetkan mesin saya secara khusus) saya adalah sedikit lebih longgar jadi saya belum pernah menggunakan Tripwire selama bertahun-tahun ... tapi itu mungkin sesuatu yang Anda cari untuk menghasilkan laporan perubahan file.

pengguna173411
sumber
0

Hal terbaik untuk dilakukan dalam skenario Anda adalah format mingguan atau lebih pendek. Instal program seperti spideroak untuk menyinkronkan data Anda dengan aman. Dengan begitu setelah memformat ulang, Anda hanya perlu mengunduh spideroak dan semua data Anda kembali. Dulu lebih mudah dengan ubuntuone tapi itu hilang sekarang :(

btw: spideroak hanya menjamin nol pengetahuan jika Anda tidak pernah mengakses file Anda di situs mereka melalui sesi web. Anda harus menggunakan hanya klien perangkat lunak mereka untuk mengakses data dan mengubah kata sandi Anda.

keris
sumber