Wo kann ich nach Malware suchen, die möglicherweise auf meinem Computer installiert wurde?

23

Ich möchte meine Ubuntu-Box analysieren, um festzustellen, ob sie gehackt wurde. Meine Frage ist: Was sind die Orte, an denen Sie suchen müssen, um festzustellen, ob bösartige Software gestartet wurde? Das Folgende ist eine Art Rohliste:

  1. mbr
  2. Kernel-Image (ich habe md5)
  3. / sbin / init (ich habe md5)
  4. Kernel-Module in / etc / modules
  5. Alle Services-Skripte in /etc/init.d und / etc / init (ich habe md5)
  6. /etc/rc.local
  7. gnome autorun

und ?

Meine Frage ist absolut ehrlich und nicht böswillig. Es ist nur zu erkennen, ob meine Box kompromittiert wurde.

Luigi
quelle

Antworten:

25

Das Ziel von Malware ist es, etwas zu tun. Es muss also mit der Außenwelt kommunizieren. Der beste Ansatz ist es, den Netzwerkverkehr auf Ihrem Computer zu untersuchen.

Ich mag Dnstop Utility. Installieren Sie durchsudo apt-get install dnstop

Führen Sie dann das Dienstprogramm auf Ihrer Netzwerkkarte aus

sudo dnstop -l 3 eth0

Wenn das Dienstprogramm ausgeführt wird, drücken Sie die Taste 3. Dadurch wird der Bildschirm so geändert, dass alle DNS-Anforderungen angezeigt werden, die von Ihrem Computer gesendet werden.

In meinem Fall bin ich zu Ubuntu gegangen und habe versucht, auf Folgendes zuzugreifen

Query Name               Count      %   cum%
-------------------- --------- ------ ------
www.gravatar.com             2   40.0   40.0
askubuntu.com                2   40.0   80.0
ny.stackexchange.com         1   20.0  100.0

Dies gibt mir eine Vorstellung davon, auf welche Websites zugegriffen wurde. Sie müssen nichts tun und sich zurücklehnen und eine Weile warten, um zu sehen, auf was Ihr Computer zugreift. Überprüfen Sie dann mühsam alle Websites, auf die zugegriffen wird.

Es gibt viele Tools, die Sie verwenden können. Ich dachte, dies ist ein einfaches Tool, das Sie ausprobieren können.

Meer Borg
quelle
uhmm ich denke, dass sich das dümmste rootkit und sein verkehr verstecken.
Luigi
@Luigi Wie gesagt, es gibt viele Tools für die forensische Analyse. Ob. Sie sind so besorgt, dass Sie Wireshark verwenden und sich den Datenverkehr in Ihrem Netzwerksegment ansehen, der bei der Arbeit auf Hardware-Ebene kaum zu fälschen ist. Wenn Sie paranoider sind, können Sie Wireshark auf einem sauberen Computer in Ihrem Segment ausführen.
Meer Borg
ok, aber ich denke der beste weg ist das offline system per livecd zu analysieren. Ich denke, es ist einfacher, weil eine clevere Malware Informationen nur dann nach draußen senden kann, wenn andere Datenströme vorhanden sind, oder Informationen über einen verdeckten Kanal senden könnte.
Luigi
@Luigi und wie stellen Sie fest, welches der Tausenden von Programmen kompromittiert wurde? Führen Sie md5-Hashes auf einem sauberen System aus und vergleichen Sie es mit Ihrem System? Beste Option ist es, Computer zu löschen, mbr, sogar die Festplatte wegzuwerfen? BIOS? Viele Angriffsvektoren. Es ist ein harter Job und Sie scheinen gut informiert zu sein. Aber was lässt Sie glauben, dass Sie von diesem Super-Stealth-Virus infiziert wurden?
Meer Borg
1
Die meisten Linux-Distributionen haben fast alle md5-Dateien in den Paketen. Zum Beispiel in Ubuntu gibt es Debsums. Es ist also ziemlich einfach, das gesamte System zu überprüfen. Aber natürlich sind einige Dateien nicht gehasht .. zum Beispiel die mbr. Aber das Kernel-Image und alle Module haben md5 (und sha1 oder sha256, um md5-Kollisionen zu vermeiden) und das Gleiche für / sbin / init. Ich muss nur die Sachen überprüfen, die nicht gehasht werden, aber ich muss den Boot-Prozess sehr genau kennen.
Luigi
6

Sie können nie wissen, ob Ihr PC bereits infiziert ist oder nicht. Sie können dies möglicherweise erkennen, indem Sie den Datenverkehr von Ihrem Computer abhören. Im Folgenden finden Sie Informationen, mit denen Sie sicherstellen können, dass Ihr System in Ordnung ist. Denken Sie daran, dass nichts 100% ist.

  • Stellen Sie sicher, dass Sie das Root-Konto nicht aktivieren
  • Stellen Sie sicher, dass Sie über die neuesten Sicherheitsupdates verfügen, sobald diese veröffentlicht werden
  • Installieren Sie keine Software, von der Sie wissen, dass Sie sie kaum oder nie verwenden werden
  • Stellen Sie sicher, dass Ihr System über sichere Kennwörter verfügt
  • Deaktivieren Sie alle Dienste oder Prozesse, die nicht benötigt werden
  • Installieren Sie eine gute AV (wenn Sie viel mit Windows zu tun haben oder eine E-Mail, die möglicherweise einen Windows-basierten Virus enthält).

So weit wie herauszufinden, ob Sie gehackt wurden; Sie erhalten Popup-Anzeigen, werden zu Websites weitergeleitet, die Sie nicht besuchen wollten usw.

Ich muss sagen, dass /sys /boot /etcunter anderem wichtig sind.

Linux-Malware kann auch mithilfe von speicherforensischen Tools wie Volatility oder Volatility erkannt werden

Weitere Informationen finden Sie unter Warum benötige ich Antivirensoftware? . Wenn Sie eine Antivirensoftware installieren möchten, empfehle ich Ihnen, ClamAV zu installieren

Mitch
quelle
3

Sie können auch versuchen, mit rkhunterwelcher Methode Ihr PC nach vielen gängigen Rootkits und Trojanern durchsucht wird.

Cyril Laury
quelle
rkhunter erkennt nur das bekannte Rootkit. Außerdem ist es sehr einfach, ein öffentliches Rootkit zu verwenden und die Quelle zu ändern, sodass es von rkhunter nicht mehr erkannt werden kann.
Luigi
1

Es gibt spezielle Distributionen wie BackTrack, die Software zur Analyse von Situationen wie Ihrer enthalten. Aufgrund des hochspezialisierten Charakters dieser Tools ist mit ihnen normalerweise eine recht steile Lernkurve verbunden. Aber wenn dies wirklich ein Problem für Sie ist, ist es gut investierte Zeit.

hmayag
quelle
Ich kenne Backtrack, aber es gibt keine Software, die solche Prüfungen automatisch durchführt.
Luigi
@Luigi Wenn es so einfach wäre, wäre ich ein IT-Sicherheits- / Forensik-Analyst mit einem sechsstelligen Gehalt ...
hmayag
1

Es ist für Sie offensichtlich (für andere, ich werde es erwähnen), wenn Sie Ihr System als VM ausführen, dann ist Ihr Risikopotential begrenzt. Ein / Aus-Taste behebt die Situation in diesem Fall. Bewahren Sie Programme in ihrer Sandbox auf (per ~ se). Starke Passwörter. Kann es nicht genug sagen. Aus SA-Sicht ist es Ihre erste Verteidigungslinie. Meine Faustregel: Gehen Sie nicht über 9 Zeichen hinaus, verwenden Sie Sonderzeichen und auch Groß- und Kleinschreibung sowie Zahlen. Es klingt schwer richtig. Es ist einfach. Beispiel ... 'H2O = O18 + o16 = Wasser' Ich verwende die Chemie für einige interessante Passwörter. H2O ist Wasser, aber die O18 und O16 sind verschiedene Sauerstoffisotope, aber am Ende gibt es Wasser, daher "H2O = O18 + o16 = Wasser" Nennen Sie den Computer / Server / Terminal "Waterboy".

Werde ich raus?!?!

user161464
quelle
0

Sie können ClamAV (Softwarecenter) installieren und ausführen und auf Ihrem Computer nach schädlicher Software suchen. Wenn Sie Wine installiert haben: Löschen Sie es über Synaptic (vollständige Entfernung) und führen Sie gegebenenfalls eine Neuinstallation durch.

Um es kurz zu machen: Es gibt nur sehr wenige schädliche Software für Linux (nicht mit Windows verwechseln !!), daher ist die Gefahr, dass Ihr System kompromittiert wird, nahezu unzureichend. Ein guter Rat ist: Wählen Sie ein sicheres Passwort für Ihren Root (das können Sie bei Bedarf leicht ändern).

Seien Sie nicht verrückt nach Ubuntu und bösartiger Software. Bleiben Sie in den Reihen des Softwarecenters / installieren Sie keine zufälligen PPAs / installieren Sie keine .deb-Pakete, die keine Garantien oder zertifizierten Hintergründe haben; Dadurch bleibt Ihr System ohne Hastle sauber.

Es ist auch ratsam, jedes Mal zu entfernen, wenn Sie Ihren Firefox-Browser (oder Chromium) schließen, um alle Cookies zu löschen und Ihren Verlauf zu bereinigen. Dies kann leicht in den Einstellungen festgelegt werden.

Joris Donders
quelle
0

Früher, als ich öffentliche Server betrieb, installierte ich sie in einer nicht vernetzten Umgebung und installierte dann Tripwire auf ihnen ( http://sourceforge.net/projects/tripwire/ ).

Tripwire überprüfte grundsätzlich alle Dateien auf dem System und erstellte Berichte. Sie können diejenigen ausschließen, von denen Sie sagen, dass sie sich ändern dürfen (z. B. Protokolldateien) oder die Sie nicht interessieren (Mail-Dateien, Cache-Speicherorte des Browsers usw.).

Es war eine Menge Arbeit, die Berichte durchzuarbeiten und einzurichten, aber es war schön zu wissen, dass Sie, wenn sich eine Datei änderte und Sie kein Update installierten, um es zu ändern, wussten, dass es etwas gab, das untersucht werden musste. Ich habe das alles eigentlich nie gebraucht, aber ich bin froh, dass wir es zusammen mit Firewall-Software und regelmäßigen Port-Scans des Netzwerks ausgeführt haben.

In den letzten 10 Jahren musste ich nur meinen persönlichen Computer warten, und ohne dass jemand anderen physischen Zugriff oder Konten auf die Box hatte und ohne öffentliche Dienste (oder einen wichtigen Grund, meinen Computer gezielt zu nutzen) bin ich ein Etwas lockerer, also habe ich Tripwire seit Jahren nicht mehr verwendet. Möglicherweise möchten Sie jedoch Berichte über Dateiänderungen erstellen.

user173411
quelle
0

In Ihrem Szenario empfiehlt es sich, das Format wöchentlich oder kürzer zu wählen. Installieren Sie ein Programm wie spideroak, um Ihre Daten sicher zu synchronisieren. Auf diese Weise müssen Sie nach der Neuformatierung nur noch Spideroak herunterladen und alle Ihre Daten werden wiederhergestellt. Früher war es mit Ubuntuone einfacher, aber jetzt ist es vorbei :(

btw: spideroak garantiert nur dann null Wissen, wenn Sie niemals über eine Websitzung auf Ihre Dateien auf ihrer Website zugreifen. Sie müssen nur ihren Software-Client verwenden, um auf Daten zuzugreifen und Ihr Passwort zu ändern.

kris
quelle