Dove posso cercare malware eventualmente installato sul mio computer?

23

Voglio analizzare il mio Ubuntu Box per rilevare se è stato violato. La mia domanda è: quali sono tutti i luoghi dove cercare per scoprire se vengono avviati alcuni software dannosi? Di seguito è riportato un tipo di elenco non elaborato:

  1. MBR
  2. immagine del kernel (ho md5)
  3. / sbin / init (ho md5)
  4. Moduli del kernel in / etc / modules
  5. tutti gli script di servizi in /etc/init.d e / etc / init (ho md5)
  6. /etc/rc.local
  7. gnome autorun

e ?

La mia domanda è totalmente onesta e non malevola. È solo per rilevare se la mia scatola è stata compromessa.

boot  security  malware 
Luigi
fonte

Risposte:

25

L'obiettivo del malware è fare qualcosa. Quindi dovrà comunicare con il mondo esterno. Quindi l'approccio migliore è quello di dare un'occhiata al traffico di rete che si sta verificando sul tuo computer.

Mi piace l'utilità dnstop. Installa dasudo apt-get install dnstop

Quindi eseguire l'utilità sulla scheda di rete 

sudo dnstop -l 3 eth0

Quando l'utilità viene eseguita, premere il tasto 3, questo cambierà lo schermo per visualizzare tutte le richieste DNS che sono state fatte dal tuo computer.

Nel mio caso sono andato su Ubuntu e ho provato ad accedere a quanto segue

Query Name               Count      %   cum%
-------------------- --------- ------ ------
www.gravatar.com             2   40.0   40.0
askubuntu.com                2   40.0   80.0
ny.stackexchange.com         1   20.0  100.0

Questo mi dà un'idea di quali siti web sono stati accessibili. Quello che devi fare è non fare nulla e rilassarti e aspettare un po 'per vedere a cosa accede il tuo computer. Quindi segui faticosamente tutti i siti web a cui accede.

Ci sono molti strumenti che potresti usare, ho pensato che fosse facile da provare.

Meer Borg
fonte
Penso che il rootkit più stupido si nasconda e il suo traffico.
Luigi
@Luigi come ho detto, ci sono molti strumenti per l'analisi forense. Se. sei così preoccupato usare Wireshark e guardare il traffico sul tuo segmento di rete che è abbastanza impossibile da falsificare mentre lavori a livello hardware. Se sei più paranoico, potresti eseguire Wireshark su un computer pulito nel tuo segmento.
Meer Borg,
ok, ma penso che il modo migliore sia analizzare il sistema offline tramite livecd. Penso che sia più facile perché un malware intelligente può inviare informazioni all'esterno solo se ci sono altri flussi di dati o potrebbe inviare informazioni su un canale nascosto.
Luigi
@ Luigi e come si stabilisce quale delle migliaia di programmi è stata compromessa? Eseguendo gli hash md5 su un sistema pulito e confrontandolo con il tuo sistema? L'opzione migliore è cancellare il computer, mbr, persino buttare via il disco rigido? Bios? Molti vettori di attacco. È un lavoro duro e sembri essere ben informato. Ma cosa ti porta a credere di essere stato infettato da questo "virus" super invisibile?
Meer Borg,
1
La maggior parte della distribuzione Linux ha quasi tutti md5 dei file contenuti nei pacchetti. Ad esempio in Ubuntu c'è debsums. Quindi è abbastanza facile fare un grande controllo del sistema completo. Ma ovviamente alcuni file non sono sottoposti a hash. Ad esempio mbr. Ma l'immagine del kernel e tutti i moduli hanno il loro md5 (e sha1 o sha256 per evitare la collisione md5), e lo stesso per / sbin / init. Devo solo controllare le cose che non sono hash ma devo conoscere in modo molto approfondito il processo di avvio.
Luigi
6

Non puoi mai sapere se il tuo PC è già infetto o meno. Potresti essere in grado di dire ascoltando il traffico proveniente dal tuo computer. Di seguito sono riportate alcune operazioni che è possibile eseguire per garantire che il sistema funzioni correttamente. Tieni presente che nulla è al 100%.

  • Assicurati di non abilitare l'account root
  • Assicurati di disporre degli ultimi aggiornamenti di sicurezza non appena vengono pubblicati
  • Non installare software che sai che non userai quasi mai
  • Assicurati che il tuo sistema abbia password complesse
  • Disattiva tutti i servizi o processi che non sono necessari
  • Installa un buon AV (se hai a che fare molto con Windows, o forse una e-mail che può contenere un virus basato su Windows.)

Per quanto riguarda scoprire se sei stato violato; otterrai annunci pop-up, reindirizzamenti a siti che non avevi intenzione di visitare, ecc.

Devo dire che, /sys /boot /etctra gli altri, sono considerati importanti.

Il malware Linux può anche essere rilevato utilizzando strumenti di analisi forense della memoria, come Volatilità o Volatilità

Inoltre potresti voler guardare Perché ho bisogno di un software antivirus? . Se si desidera installare un software antivirus, si consiglia di installare ClamAV

Mitch
fonte
3

Puoi anche provare a rkhunterscansionare il tuo PC alla ricerca di molti rootkit e trojan horse comuni.

Cyril Laury
fonte
rkhunter rileva solo il rootkit noto, inoltre è molto facile prendere qualsiasi rootkit pubblico e cambiare la fonte rendendolo non rilevabile da rkhunter ..
Luigi
1

Esistono distribuzioni specializzate come BackTrack che contengono software per analizzare situazioni come la tua. A causa della natura altamente specializzata di questi strumenti, di solito è associata una curva di apprendimento piuttosto ripida. Ma se questa è davvero una preoccupazione per te, è tempo ben speso.

hmayag
fonte
Conosco il backtrack, ma non esiste alcun software che esegua automaticamente questo tipo di controllo.
Luigi
@Luigi Se fosse così facile sarei un analista della sicurezza informatica / forense con uno stipendio a sei cifre ...
hmayag
1

È ovvio per te (per altri ne parlerò) se esegui il tuo sistema come VM, il tuo rischio potenziale è limitato. Il pulsante di accensione risolve la cosa in quel caso, Mantieni i programmi nella loro sandbox (di per sé). Password complesse. Non posso dirlo abbastanza. Da un punto di vista SA, è la tua difesa di prima linea. La mia regola empirica, non andare belove 9 caratteri, utilizzare Specials, e maiuscolo + minuscolo + anche i numeri. Sembra difficile, giusto. È facile. Esempio ... "H2O = O18 + o16 = water" Uso la chimica per alcune password interessanti. H2O è acqua, ma O18 e O16 sono diversi isotopi di ossigeno, ma alla fine, ne risulta acqua, quindi "H2O = O18 + o16 = acqua". Quindi chiama quel computer / server / terminale "Waterboy" Potrebbe essere d'aiuto.

Sto andando fuori di testa?!?!

user161464
fonte
0

è possibile installare ed eseguire ClamAV (softwarecenter) e verificare la presenza di software dannoso sul computer. Se hai installato Wine: eliminalo tramite Synaptic (rimozione completa) ed esegui una reinstallazione se nessecary.

Per la cronaca: esistono pochissimi software dannosi per Linux (non mescolarli con un passato con Windows !!), quindi la possibilità che il tuo sistema sia compromesso è quasi zip. Un buon consiglio è: scegli una password complessa per il tuo root (puoi cambiarla facilmente se nessecary).

Non arrivare paranoico su Ubuntu e software dannoso; rimanere all'interno delle linee del softwarecenter / non installare PPA casuali / non installare pacchetti .deb che non hanno garanzie né sfondi certificati; così facendo il tuo sistema rimarrà pulito senza fretta.

Si consiglia inoltre di rimuovere ogni volta che si chiude il browser Firefox (o Chromium) per eliminare tutti i cookie e cancellare la cronologia; questo è facilmente impostabile nelle preferenze.

Joris Donders
fonte
0

Quando eseguivo server pubblici, li installavo in un ambiente non in rete e quindi installavo Tripwire su di essi ( http://sourceforge.net/projects/tripwire/ ).

In pratica, Tripwire ha controllato tutti i file sul sistema e ha generato rapporti. Potresti escludere quelli che ritieni possano essere modificati (come i file di registro) o che non ti interessano (file di posta, percorsi della cache del browser, ecc.).

È stato un sacco di lavoro esaminare i report e configurarlo, ma è stato bello sapere che se un file è cambiato e non hai installato un aggiornamento per cambiarlo, sapevi che c'era qualcosa da investigare. In realtà non ho mai avuto bisogno di tutto questo, ma sono contento che l'abbiamo eseguito insieme al software firewall e alle scansioni delle porte regolari della rete.

Negli ultimi 10 anni ho dovuto solo mantenere la mia macchina personale, e senza nessun altro avere accesso fisico o account sulla scatola e nessun servizio pubblico (o molte ragioni per indirizzare la mia macchina in modo specifico) sono un un po 'più rilassato, quindi non uso Tripwire da anni ... ma potrebbe essere qualcosa che stai cercando per generare rapporti sulle modifiche ai file.

user173411
fonte
0

La cosa migliore da fare nel tuo scenario è il formato settimanale o più breve. Installa un programma come spideroak per sincronizzare i tuoi dati in modo sicuro. In questo modo dopo aver riformattato tutto ciò che devi fare è scaricare spideroak e tutti i tuoi dati torneranno. Prima era più facile con Ubuntuone, ma ora non c'è più :(

btw: spideroak garantisce conoscenza zero solo se non si accede mai ai file sul loro sito tramite una sessione Web. è necessario utilizzare solo il client software per accedere ai dati e modificare la password.

kris
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.