Wie kann ich einen Keylogger auf meinem System erkennen?

52

Wie kann ich wissen, ob sich in meinem System ein Keylogger befindet oder zumindest, ob einer gerade aktiv ist?

NaomiJO
quelle
2
In Ubuntu ist das Vorhandensein von Keylogger nicht möglich, es sei denn, es ist bereits geknackt oder gehackt (seltenes Szenario). Es verfügt über ein anderes und robustes Sicherheitsmodul als Windows.
Atenz
2
@atenz Stimmt nicht, wenn Sie den X.org-Display-Manager ausführen. Nur um zu sehen, wie einfach es ist, die Sicherheit zu gefährden, googeln Sie "GUI-Isolation". Vergleichsweise macht Windows die GUI-Isolation seit Vista besser.
Nanashi No Gombe

Antworten:

44

Läuft gerade ein Keylogger?

  • Zunächst nehmen wir an, dass Sie ein Ubuntu-Standardsystem verwenden, das X installiert hat und das immer unter der Kontrolle von X stand - wobei X Sie selbst oder jemand ist, dem Sie absolut vertrauen.

  • Da es sich um ein Standardsystem handelt und die gesamte Software aus den offiziellen Repositories installiert wurde, können Sie sicher sein, dass sich dort kein versteckter Keylogger befindet. Beispielsweise hat jemand den Kernel speziell so modifiziert, dass er Sie ausspioniert und nur schwer zu erkennen ist.

  • Wenn dann ein Keylogger ausgeführt wird, sind dessen Prozesse sichtbar. Alles, was Sie tun müssen, ist ps -aux, htopsich die Liste aller laufenden Prozesse anzusehen und herauszufinden, ob etwas verdächtig ist.

    • Die gebräuchlichsten "legitimen" Linux-Keylogger sind lkl, uberkey, THC-vlogger, PyKeylogger, logkeys. logkeys ist der einzige, der in den Ubuntu-Repositories verfügbar ist.

Habe ich versehentlich einen Trojaner / Virus- Keylogger heruntergeladen ?

  • Normalerweise ist dieses Risiko unter Ubuntu / Linux aufgrund der suerforderlichen privileges ( ) sehr gering .
  • Sie können versuchen, einen "Rootkit" -Detektor zu verwenden, wie Mitch in seiner Antwort vermerkt hat .
  • Andernfalls kommt es auf forensische Analysen an, wie z. B. Verfolgung / Debugging von Prozessen, Anzeigen von Dateiänderungen / Zeitstempeln zwischen Startvorgängen, Aufspüren der Netzwerkaktivität usw.

Was ist, wenn ich auf einem "nicht vertrauenswürdigen" Ubuntu-System bin?

Was ist, wenn Sie in einem Internet- / Cybercafé, in der Bibliothek, bei der Arbeit usw. sind? Oder sogar ein Heimcomputer, der von vielen Familienmitgliedern benutzt wird?

In diesem Fall sind alle Wetten ungültig. Es ist ziemlich einfach, Tastatureingaben auszuspionieren, wenn jemand über genügend Fähigkeiten / Geld / Entschlossenheit verfügt:

  • Die kernelmodifizierenden versteckten Keylogger, die so gut wie unmöglich in das System eines anderen eingeführt werden können, sind viel einfacher einzuführen, wenn Sie der Administrator eines öffentlichen Computerraums sind und diese auf Ihren eigenen Systemen installieren.
  • Es gibt Hardware-USB- oder PS / 2-Keylogger zwischen Tastatur und Computer, die jeden Tastendruck im internen Speicher protokollieren. Sie können in der Tastatur oder sogar im Computergehäuse versteckt sein.
  • Kameras können so positioniert werden, dass Ihre Tastenanschläge sichtbar sind oder herausgefunden werden können.
  • Wenn alles andere fehlschlägt, kann ein Polizeistaat immer ihre Schläger nach Ihnen schicken, um Sie zu zwingen, ihnen mitzuteilen, was Sie mit vorgehaltener Waffe eingegeben haben: /

Das Beste, was Sie mit einem nicht vertrauenswürdigen System tun können, ist, Ihre eigene Live-CD / Live-USB zu nehmen und diese zu verwenden. Nehmen Sie Ihre eigene drahtlose Tastatur und stecken Sie sie in einen anderen USB-Anschluss als den, an dem die systemeigene Tastatur angeschlossen ist ( Entfernen von Hardware-Loggern, die sowohl in der Tastatur als auch an dem im Computer verborgenen Port verborgen sind, in der Hoffnung, dass sie nicht für jeden Port des gesamten Systems einen Hardware-Logger verwendet haben. , und wenn Sie sich in einem Polizeistaat befinden, beenden Sie Ihre Arbeit und bleiben Sie in kürzerer Zeit als die Reaktionszeit der örtlichen Polizei an einem anderen Ort.

ish
quelle
Meine Frage war mehr auf Ihren letzten Punkt ausgerichtet. Die drei Beispiele, die Sie erwähnt haben, beziehen sich eigentlich nicht auf das System, daher würde die Verwendung einer Live-CD nicht helfen. Ich spreche nur über das System selbst, nicht über Kameras oder andere Hardware-Dinge. Woher weiß ich, ob mein System einen Hook hat, der meine Schlüssel protokolliert?
NaomiJO
13

Ich möchte nur etwas einwerfen, von dem ich nicht wusste, dass es es unter Linux gibt: Sichere Texteingabe.

CtrlKlicken Sie unter xterm auf -> "Secure Keyboard". Dies fordert dazu auf, xterm-Tastatureingaben von anderen x11-Apps zu isolieren. Dies verhindert keine Kernel-Logger, sondern ist nur eine Schutzstufe.

andychase
quelle
2
Ihre Antwort ist die einzige, die mir neue Einsichten verschafft hat. Ich wusste nie, dass xterm diese Möglichkeit bietet.
Shivams
9

Ja, Ubuntu kann einen Key-Logger haben. Es ist weit hergeholt, aber es kann passieren. Es kann über einen Browser ausgenutzt werden und ein Angreifer kann Code mit Ihren Benutzerrechten ausführen. Es kann Autostart-Dienste verwenden, die beim Anmelden Programme ausführen. Jedes Programm kann Scan-Codes von gedrückten Tasten in X Window System erhalten. Es ist leicht mit xinputBefehl zu demonstrieren . Weitere Informationen finden Sie unter GUI-Isolierung . 1

Linux-Key-Logger müssen über einen Root-Zugriff verfügen, bevor sie die Tastatur überwachen können. Ohne diese Berechtigung können sie keinen Key Logger ausführen. Sie können nur nach Rootkits suchen. Dazu können Sie CHKROOTKIT verwenden

1 Quelle: superuser.com

Mitch
quelle
1
Ich bin ein wenig verwirrt: "Jedes Programm kann Scan-Codes von gedrückten Tasten in X Window System erhalten." "Linux-Key-Logger müssen über einen Root-Zugang verfügen, bevor sie die Tastatur überwachen können." Ist das nicht ein Widerspruch?
guntbert
1
Und gerade wählerisch zu sein: Es gibt Keyloggern in der Repo , da es gültige Anwendungsfälle für ein bis vorhanden sein (siehe packages.ubuntu.com/raring/logkeys ) , so ist es nicht weit hergeholt ;-)
Rinzwind
Wer hat den Quellcode aller chkrootkit C-Programme überprüft, insbesondere das Skript "chkrootkit", um sicherzustellen, dass sie unsere Computer nicht mit Rootkits oder Key-Loggern infizieren?
Curt
@guntbert Wenn X ausgeführt wird, kann standardmäßig jede Software, die auf die X-Sitzung zugreifen kann, Schlüssel protokollieren. Andernfalls benötigen Sie die Berechtigungen, um direkt auf das Linux-Ereignisgerät zuzugreifen (das in einigen Konfigurationen nur root hat).
L29Ah,
1

Linux-Keylogger können aus systemkompatiblen Sprachen erstellt werden und erfordern die Verwendung eines lokalen Dateispeichers, um diese Daten aufzuzeichnen, und, falls dies programmiert ist, einen Keylogger, der manuell programmiert oder heruntergeladen wurde, um damit zu arbeiten Betriebssystem, dann kann es sich tatsächlich um eine Datei handeln, die möglicherweise an einer beliebigen Stelle im System in eine Systemdatei umbenannt wurde.

Das letzte Mal, als ich einen Keylogger auf meinem System erstellte / hatte, war dies die Situation und es war leicht zu erkennen und zu entfernen, aber es beinhaltete das manuelle Finden der Quelle und dies dauerte ein wenig.

Wenn Sie einen Keylogger dieses Typs haben, würde ich versuchen, ihn zu finden und zu entfernen, aber wenn es sich tatsächlich um etwas handelt, das heruntergeladen oder installiert wurde, würde ich dies als sehr unwahrscheinlich erachten, da Linux ein sicheres Betriebssystem ist, das normalerweise nicht vermutet wird Formen von Viren, die normalerweise auf Windows-Systemen vorkommen.

Kosakenmann
quelle