Где я могу найти вредоносные программы, которые могли быть установлены на моем компьютере?

Я хочу проанализировать мой ящик с Ubuntu, чтобы определить, не был ли он взломан. У меня вопрос: где искать, где запускается какое-либо вредоносное ПО? Ниже приведен некоторый необработанный список:

  1. mbr
  2. образ ядра (у меня есть md5)
  3. / sbin / init (у меня есть md5)
  4. Модули ядра в / etc / modules
  5. все сценарии служб в /etc/init.d и / etc / init (у меня есть md5)
  6. /etc/rc.local [ 115]
  7. gnome autorun

и?

Мой вопрос совершенно честный и не злой. Это только для определения того, была ли моя коробка взломана.

23
задан 23 May 2013 в 12:33

8 ответов

Вы никогда не узнаете, заражен ли ваш компьютер или нет. Вы можете быть в состоянии сказать, слушая трафик, приходящий с вашего компьютера. Ниже вы можете кое-что сделать, чтобы убедиться, что ваша система в порядке. Имейте в виду, что ничто не является 100%.

  • Убедитесь, что вы не включили корневую учетную запись
  • Убедитесь, что у вас есть последние обновления безопасности, как только они выйдут
  • Не устанавливайте программное обеспечение, которое вы знаю, что вы вряд ли или никогда не будете использовать
  • Убедитесь, что в вашей системе надежные пароли
  • Отключите ненужные службы или процессы
  • Установите хороший AV ( если вы будете иметь дело с Windows, или, может быть, с электронной почтой, которая может содержать вирус на основе Windows.)

Насколько вы узнали, что вас взломали; вы будете получать всплывающую рекламу, перенаправлять на сайты, которые вы не собирались посещать, и т. д.

Я должен сказать, что /sys /boot /etc среди других считаются важными.

Вредоносные программы Linux также можно обнаружить с помощью инструментов криминалистической экспертизы памяти, таких как Volatility или Volatility

. Также вы можете посмотреть на Почему я Нужно антивирусное программное обеспечение? . Если вы хотите установить антивирусное программное обеспечение, я бы рекомендовал вам установить ClamAV

0
ответ дан 23 May 2013 в 12:33

Цель вредоносного ПО - что-то сделать. Так что нужно будет общаться с внешним миром. Поэтому лучше всего посмотреть на сетевой трафик, который происходит на вашем компьютере.

Мне нравится утилита dnstop. Установите sudo apt-get install dnstop

Затем запустите утилиту на вашей сетевой карте

sudo dnstop -l 3 eth0

Когда программа запустится, нажмите клавишу 3, это изменит экран, чтобы отобразить все запросы DNS, сделано вашим компьютером.

В моем случае я пошел в Ubuntu, и он попытался получить доступ к следующему

Query Name               Count      %   cum%
-------------------- --------- ------ ------
www.gravatar.com             2   40.0   40.0
askubuntu.com                2   40.0   80.0
ny.stackexchange.com         1   20.0  100.0

Это дает мне представление о том, какие веб-сайты были доступны. То, что вам нужно сделать, это ничего не делать, а сидеть сложа руки и некоторое время ждать, чтобы увидеть, что ваш компьютер получает доступ. Затем кропотливо проследите за всеми этими веб-сайтами, к которым он обращается.

Есть много инструментов, которые вы могли бы использовать, я подумал, что вам было бы легко опробовать их.

0
ответ дан 23 May 2013 в 12:33

Для вас очевидно (для других я упомяну это), если ваша система работает как виртуальная машина, тогда ваш потенциал риска ограничен. Кнопка питания исправляет ситуацию в этом случае, Храните программы в своей песочнице (как таковые). Сильные пароли. Не могу сказать, что достаточно. С точки зрения SA, это ваша первая линия защиты. Мое эмпирическое правило: не делай любимых 9 символов, используй Specials, а также Upper + Lower case + Numbers. Звучит сложно, правда. Это просто. Пример ... 'H2O = O18 + o16 = water' Я использую химию для некоторых интересных паролей. H2O - это вода, но O18 и O16 - это разные изотопы кислорода, но в итоге получается вода, поэтому «H2O = O18 + o16 = вода». Сильный паразол. Так что назовите этот компьютер / сервер / терминал «Уотербой». Это может помочь.

Неужели я идиот???!

0
ответ дан 23 May 2013 в 12:33

Вы также можете попробовать rkhunter, который сканирует ваш компьютер на наличие множества руткитов и троянских коней.

0
ответ дан 23 May 2013 в 12:33

Существуют специализированные дистрибутивы, такие как BackTrack, которые содержат программное обеспечение для анализа подобных ситуаций. Из-за узкоспециализированного характера этих инструментов, как правило, с ними связана довольно крутая кривая обучения. Но тогда, если это действительно беспокоит вас, это хорошо проведенное время.

0
ответ дан 23 May 2013 в 12:33

Вы можете установить и запустить ClamAV (softwarecenter) и проверить наличие вредоносных программ на вашем компьютере. Если у вас установлен Wine: удалите его через Synaptic (полное удаление) и, если необходимо, переустановите.

Для справки: существует очень мало вредоносных программ для Linux (не путайте его с прошлым с Windows !!), поэтому вероятность того, что ваша система будет взломана, почти равна zip. Хороший совет: выберите надежный пароль для своего root (вы можете легко изменить его, если это необходимо).

Не волнуйтесь насчет Ubuntu и вредоносных программ; оставайтесь в рамках программного центра / не устанавливайте случайные PPA / не устанавливайте .deb-пакеты, которые не имеют никаких гарантий или сертифицированных фонов; при этом ваша система останется чистой без суеты.

Рекомендуется также удалять каждый раз, когда вы закрываете браузер Firefox (или Chromium) для удаления всех файлов cookie, и очищать вашу историю; это легко установить в настройках.

0
ответ дан 23 May 2013 в 12:33

Когда я запускал публичные серверы, я устанавливал их в не-сетевой среде, а затем устанавливал на них Tripwire ( http://sourceforge.net/projects/tripwire/ ).

Tripwire проверил все файлы в системе и сгенерировал отчеты. Вы можете исключить те, которые, по вашему мнению, могут быть изменены (например, файлы журналов) или которые вас не волнуют (почтовые файлы, места в кэше браузера и т. Д.).

Было много работы по просмотру отчетов и их настройке, но было приятно узнать, что если файл изменился, и вы не установили обновление, чтобы изменить его, вы знали, что есть что-то, что нужно быть исследованным. На самом деле мне все это никогда не требовалось, но я рад, что мы запустили его вместе с программным обеспечением брандмауэра и регулярным сканированием портов в сети.

В течение последних 10 лет мне приходилось только обслуживать свой персональный компьютер, и никто другой не имел физического доступа или учетных записей на коробке, а также никаких общедоступных служб (или особых причин для нацеливания на мой компьютер). в частности) я немного слабее, поэтому я не пользовался Tripwire годами ... но это может быть то, что вы ищете, чтобы генерировать отчеты об изменениях файлов.

0
ответ дан 23 May 2013 в 12:33

Лучше всего делать по вашему сценарию формат еженедельно или короче. Установите программу, подобную spideroak, для безопасной синхронизации ваших данных. Таким образом, после переформатирования все, что вам нужно сделать, это загрузить spideroak, и все ваши данные вернутся. Раньше было проще с ubuntuone, но теперь этого нет: (

Кстати: spideroak гарантирует нулевое знание, только если вы никогда не обращаетесь к своим файлам на их сайте через веб-сеанс. Для доступа к данным вы должны использовать только их программный клиент и сменить пароль.

0
ответ дан 23 May 2013 в 12:33

Другие вопросы по тегам:

Похожие вопросы: