Tôi có thể tìm phần mềm độc hại có thể đã được cài đặt ở đâu trên máy của mình?

Tôi muốn phân tích hộp ubfox của tôi để phát hiện nếu nó bị hack. Câu hỏi của tôi là: tất cả những nơi cần tìm để khám phá nếu một số phần mềm độc hại được bắt đầu là gì? Sau đây là một số loại danh sách thô:

1. mbr
2. hình ảnh hạt nhân (tôi có md5)
3. / sbin / init (Tôi có md5)
4. Các mô-đun hạt nhân trong / etc / mô-đun
5. tất cả các tập lệnh dịch vụ trong /etc/init.d và / etc / init (Tôi có md5)
6. /etc/rc.local
7. tự động gnome

và?

Câu hỏi của tôi là hoàn toàn trung thực và không độc hại. Nó chỉ để phát hiện nếu hộp của tôi bị xâm phạm.

Mục tiêu của phần mềm độc hại là để làm một cái gì đó. Vì vậy, nó sẽ cần phải giao tiếp với thế giới bên ngoài. Vì vậy, cách tiếp cận tốt nhất là xem xét lưu lượng mạng đang xảy ra trên máy tính của bạn.

Tôi thích tiện ích dnstop. Cài đặt bởisudo apt-get install dnstop

Sau đó chạy tiện ích với thẻ mạng của bạn

sudo dnstop -l 3 eth0

Khi tiện ích chạy nhấn phím 3, điều này sẽ thay đổi màn hình để hiển thị tất cả các yêu cầu dns được thực hiện bởi máy tính của bạn.

Trong trường hợp của tôi, tôi đã đi đến Ubuntu và nó đã cố gắng truy cập vào đây

Query Name               Count      %   cum%
-------------------- --------- ------ ------
www.gravatar.com             2   40.0   40.0
askubuntu.com                2   40.0   80.0
ny.stackexchange.com         1   20.0  100.0

Điều này cho tôi một ý tưởng về những gì các trang web đã được truy cập. Những gì bạn cần làm là không làm gì cả và ngồi lại chờ một lúc để xem máy tính của bạn truy cập cái gì. Sau đó, chăm chỉ theo dõi trên tất cả các trang web mà nó truy cập.

Có nhiều công cụ bạn có thể sử dụng, tôi nghĩ đây là một công cụ dễ dàng để bạn thử.

Bạn không bao giờ có thể biết nếu PC của bạn đã bị nhiễm hay không. Bạn có thể có thể nói bằng cách lắng nghe lưu lượng truy cập đến từ máy tính của bạn. Dưới đây là những điều bạn có thể làm để đảm bảo rằng hệ thống của bạn ổn. Hãy nhớ rằng không có gì là 100%.

• Đảm bảo rằng bạn không kích hoạt tài khoản root
• Đảm bảo rằng bạn có các bản cập nhật bảo mật mới nhất ngay khi chúng ra mắt
• Không cài đặt phần mềm mà bạn biết bạn sẽ khó hoặc không bao giờ sử dụng
• Đảm bảo rằng hệ thống của bạn có mật khẩu mạnh
• Tắt mọi dịch vụ hoặc quy trình không cần thiết
• Cài đặt AV tốt (nếu bạn sẽ giao dịch nhiều với Windows hoặc có thể là email có thể chứa vi-rút dựa trên Windows.)

Theo như tìm hiểu nếu bạn đã bị hack; bạn sẽ nhận được quảng cáo bật lên, chuyển hướng đến các trang web bạn không có ý định truy cập, v.v.

Tôi sẽ phải nói rằng /sys /boot /etctrong số những người khác được coi là quan trọng.

Phần mềm độc hại Linux cũng có thể được phát hiện bằng các công cụ pháp y bộ nhớ, chẳng hạn như Biến động hoặc Biến động

Ngoài ra, bạn có thể muốn xem Tại sao tôi cần phần mềm chống vi-rút? . Nếu bạn muốn cài đặt phần mềm diệt vi-rút, tôi khuyên bạn nên cài đặt ClamAV

Bạn cũng có thể thử rkhunterquét máy tính của bạn để tìm rất nhiều rootkit và trojan phổ biến.

Có các bản phân phối chuyên biệt như BackTrack có chứa phần mềm để phân tích các tình huống như của bạn. Do tính chất chuyên môn cao của các công cụ này, thường có một đường cong học tập khá dốc liên quan đến chúng. Nhưng sau đó nếu điều này thực sự là một mối quan tâm của bạn, thì đó là thời gian tốt.

Rõ ràng với bạn (vì người khác vì tôi sẽ đề cập đến nó) nếu hệ điều hành của bạn là VM thì khả năng rủi ro của bạn bị hạn chế. Nút nguồn sửa lỗi trong trường hợp đó, Giữ các chương trình bên trong hộp cát của chúng (per ~ se). Mật khẩu mạnh. Không thể nói nó là đủ. Từ quan điểm SA, đó là phòng thủ tuyến đầu tiên của bạn. Quy tắc ngón tay cái của tôi, không được yêu thích 9 charaters, sử dụng Đặc biệt và Chữ hoa + Chữ thường + Số cũng có. Nghe có vẻ khó đúng không. Dễ thôi. Ví dụ ... 'H2O = O18 + o16 = water'I sử dụng hóa trị cho một số mật khẩu xen kẽ. H2O là nước, nhưng O18 và O16 là các đồng vị oxy khác nhau, nhưng cuối cùng, có kết quả là nước, từ đó "H2O = O18 + o16 = nước '.. Mật khẩu mạnh. Đi cùng với nó .. Khiếu nại phổ biến là nhớ lại nó . SO gọi máy tính / máy chủ / thiết bị đầu cuối là 'Waterboy' Nó có thể giúp ích.

Tôi đang mọt sách à?!?!

bạn có thể cài đặt và chạy ClamAV (softwarecenter) và kiểm tra phần mềm độc hại trên máy tính của bạn. Nếu bạn đã cài đặt Wine: hãy lọc nó thông qua Synaptic (loại bỏ hoàn toàn) và thực hiện cài đặt lại nếu không cần thiết.

Đối với hồ sơ: có rất ít phần mềm độc hại cho Linux (không trộn lẫn nó với quá khứ với Windows !!), vì vậy khả năng hệ thống của bạn bị xâm phạm là gần như zip. Một lời khuyên tốt là: chọn một mật khẩu mạnh cho root của bạn (bạn có thể dễ dàng thay đổi mật khẩu đó nếu không cần thiết).

Đừng hoang tưởng về Ubuntu và phần mềm độc hại; ở trong các dòng của phần mềm / không cài đặt ngẫu nhiên PPA / không cài đặt các gói .deb không có bảo đảm cũng như nền được chứng nhận; làm như vậy hệ thống của bạn sẽ vẫn sạch mà không cần vội vàng.

Bạn cũng nên xóa mỗi lần bạn đóng trình duyệt Firefox (hoặc Chromium) vì đã xóa tất cả cookie và xóa lịch sử của bạn; điều này dễ dàng được thiết lập trong sở thích.

Quay lại khi tôi chạy các máy chủ công cộng, tôi sẽ cài đặt chúng trong môi trường không nối mạng và sau đó cài đặt Tripwire trên chúng ( http://sourceforge.net/projects/tripwire/ ).

Về cơ bản, Tripwire đã kiểm tra tất cả các tệp trên hệ thống và tạo các báo cáo. Bạn có thể loại trừ những cái mà bạn nói được phép thay đổi (như tệp nhật ký) hoặc bạn không quan tâm (tệp thư, vị trí bộ đệm của trình duyệt, v.v.).

Có rất nhiều công việc phải xem qua các báo cáo và thiết lập nó, nhưng thật tuyệt khi biết rằng nếu một tập tin thay đổi và bạn không cài đặt bản cập nhật để thay đổi nó, bạn biết rằng cần phải điều tra. Tôi chưa bao giờ thực sự cần tất cả những thứ này, nhưng tôi rất vui vì chúng tôi đã chạy nó cùng với phần mềm tường lửa và quét cổng thông thường của mạng.

Trong khoảng 10 năm trở lại đây, tôi chỉ phải bảo trì máy cá nhân của mình và không có ai có quyền truy cập vật lý hoặc tài khoản trên hộp và không có dịch vụ công cộng nào (hoặc nhiều lý do để nhắm mục tiêu vào máy của tôi) lỏng lẻo hơn một chút vì vậy tôi đã không sử dụng Tripwire trong nhiều năm ... nhưng nó có thể là thứ bạn đang tìm kiếm để tạo báo cáo về các thay đổi tệp.

Điều tốt nhất để làm trong kịch bản của bạn là định dạng hàng tuần hoặc ngắn hơn. Cài đặt một chương trình như spideroak để đồng bộ hóa dữ liệu của bạn một cách an toàn. Bằng cách đó, sau khi định dạng lại, tất cả những gì bạn phải làm là tải xuống spideroak và tất cả dữ liệu của bạn sẽ quay trở lại. Nó đã từng dễ dàng hơn với ubfoxone nhưng giờ đã biến mất :(

btw: spideroak chỉ đảm bảo kiến ​​thức bằng không nếu bạn không bao giờ truy cập các tệp của mình trên trang web của họ thông qua một phiên web. bạn phải chỉ sử dụng ứng dụng khách phần mềm của họ để truy cập dữ liệu và thay đổi mật khẩu của mình.