Onde posso procurar por malware que pode ter sido instalado na minha máquina?

23

Quero analisar minha caixa do ubuntu para detectar se foi invadida. Minha pergunta é: qual é o lugar onde procurar para descobrir se algum software malicioso é iniciado? A seguir está algum tipo de lista bruta:

  1. mbr
  2. imagem do kernel (eu tenho md5)
  3. / sbin / init (eu tenho md5)
  4. Módulos do kernel em / etc / modules
  5. todos os scripts de serviços em /etc/init.d e / etc / init (eu tenho md5)
  6. /etc/rc.local
  7. autorun do gnome

e?

Minha pergunta é totalmente honesta e não maliciosa. É apenas para detectar se minha caixa foi comprometida.

Luigi
fonte

Respostas:

25

O objetivo do malware é fazer alguma coisa. Por isso, precisará se comunicar com o mundo exterior. Portanto, a melhor abordagem é dar uma olhada no tráfego de rede que está ocorrendo no seu computador.

Eu gosto do utilitário dnstop. Instalar porsudo apt-get install dnstop

Em seguida, execute o utilitário na sua placa de rede

sudo dnstop -l 3 eth0

Quando o utilitário for executado, pressione a tecla 3, isso mudará a tela para exibir todas as solicitações de DNS feitas pelo seu computador.

No meu caso, fui ao Ubuntu e ele tentou acessar o seguinte

Query Name               Count      %   cum%
-------------------- --------- ------ ------
www.gravatar.com             2   40.0   40.0
askubuntu.com                2   40.0   80.0
ny.stackexchange.com         1   20.0  100.0

Isso me dá uma idéia de quais sites foram acessados. O que você precisa fazer é não fazer nada, sentar e esperar um pouco para ver o que o computador acessa. Depois, siga laboriosamente todos os sites que ele acessa.

Existem muitas ferramentas que você poderia usar, achei que era fácil para você experimentar.

Meer Borg
fonte
Acho que o rootkit mais estúpido se esconde e seu tráfego.
Luigi
@ Luigi, como eu disse, existem muitas ferramentas para análise forense. E se. você está preocupado em usar o Wireshark e observar o tráfego no seu segmento de rede, o que é praticamente impossível de falsificar enquanto você trabalha no nível do hardware. Se você é mais paranóico, pode executar o Wireshark em um computador limpo no seu segmento.
Meer Borg
ok, mas acho que a melhor maneira é analisar o sistema offline pelo livecd. Eu acho que é mais fácil, porque um malware inteligente pode enviar informações para fora apenas se houver outros fluxos de dados ou enviar informações em um canal secreto.
Luigi
@ Luigi e como você estabelece qual dos milhares de programas foi comprometido? Executando hashes MD5 contra um sistema limpo e comparando-o ao seu sistema? A melhor opção é limpar o computador, mbr, até jogar fora o disco rígido? BIOS? Muitos vetores de ataque. É um trabalho difícil, e você parece estar bem informado. Mas o que faz você acreditar que foi infectado por esse "vírus" super furtivo?
Meer Borg
1
A maioria das distribuições Linux possui quase todos os md5 dos arquivos contidos nos pacotes. Por exemplo, no Ubuntu, existem debsums. Portanto, é muito fácil fazer uma grande verificação do sistema completo. Mas é claro que alguns arquivos não são hash .. por exemplo, o mbr. Mas a imagem do kernel e todos os módulos têm seu md5 (e sha1 ou sha256 para evitar colisões no md5), e o mesmo para o / sbin / init. Eu só tenho que verificar apenas as coisas que não estão com hash, mas eu tenho que saber muito profundamente o processo de inicialização.
Luigi
6

Você nunca pode saber se o seu PC já está infectado ou não. Você pode perceber ouvindo o tráfego vindo do seu computador. Abaixo, há algo que você pode fazer para garantir que seu sistema esteja OK. Lembre-se de que nada é 100%.

  • Certifique-se de não ativar a conta raiz
  • Certifique-se de ter as atualizações de segurança mais recentes assim que forem publicadas
  • Não instale softwares que você sabe que dificilmente ou nunca usará
  • Verifique se o seu sistema possui senhas fortes
  • Desative todos os serviços ou processos desnecessários
  • Instale um bom antivírus (se você estiver lidando muito com o Windows ou talvez um e-mail que possa conter um vírus baseado no Windows).

Tanto quanto descobrir se você foi hackeado; você receberá anúncios pop-up, redirecionará para sites que não pretendia visitar etc.

Eu diria que, /sys /boot /etcentre outros, são considerados importantes.

O malware do Linux também pode ser detectado usando ferramentas forenses de memória, como Volatility ou Volatility

Além disso, você pode querer consultar Por que preciso de um software antivírus? . Se você deseja instalar um software antivírus, recomendo que você instale o ClamAV

Mitch
fonte
3

Você também pode tentar rkhunterqual varre seu PC em busca de muitos rootkits e cavalos de tróia comuns.

Cyril Laury
fonte
rkhunter detectar apenas o rootkit conhecido, além disso, é muito fácil de tomar qualquer rootkit pública e alterar a fonte tornando-se indetectável de rkhunter ..
Luigi
1

Existem distribuições especializadas, como o BackTrack, que contêm software para analisar situações como a sua. Devido à natureza altamente especializada dessas ferramentas, geralmente há uma curva de aprendizado bastante acentuada associada a elas. Mas se isso é realmente uma preocupação para você, é um tempo bem gasto.

hmayag
fonte
Conheço backtrack, mas não há software que faça esse tipo de verificação automaticamente.
Luigi
@Luigi Se fosse assim tão fácil, eu seria um segurança de TI / analista forense com um salário de seis dígitos ...
hmayag
1

É óbvio para você (pelo bem dos outros, vou mencionar) se você estiver executando seu sistema como uma VM, então seu potencial de risco é limitado. O botão liga / desliga corrige as coisas, nesse caso, mantenha os programas dentro de sua caixa de areia (por si só). Senhas fortes. Não posso dizer o suficiente. Do ponto de vista da SA, é sua defesa de primeira linha. Minha regra de ouro, não adore 9 caracteres, use Especiais e Maiúsculas + minúsculas + Números também. Parece difícil, certo. É fácil. Exemplo ... 'H2O = O18 + o16 = água'Eu uso química para algumas senhas interessantes. H2O é água, mas o O18 e O16 são diferentes isótopos de oxigênio, mas no final, o resultado é água, portanto "H2O = O18 + o16 = água '.. Palavras-chave fortes. Vá em frente .. Portanto, chame esse computador / servidor / terminal de 'Waterboy'. Isso pode ajudar.

Estou lendo?!?!

user161464
fonte
0

você pode instalar e executar o ClamAV (softwarecenter) e verificar se há software malicioso no seu computador. Se você tiver o Wine instalado: limpe-o via Synaptic (remoção completa) e reinstale, se necessário.

Para constar: há muito pouco software malicioso para Linux (não o misture com o passado com o Windows !!), portanto, a chance de seu sistema estar comprometido é quase zero. Um bom conselho é: escolha uma senha forte para o seu root (você pode alterá-lo facilmente, se necessário).

Não fique paranoico com o Ubuntu e software malicioso; fique dentro das linhas do softwarecenter / não instale PPAs aleatórios / não instale pacotes .deb que não tenham garantias nem formação certificada; fazendo isso, seu sistema permanecerá limpo sem problemas.

Também é recomendável remover sempre que você fechar o navegador Firefox (ou Chromium) por excluir todos os cookies e limpar seu histórico; isso é facilmente definido nas preferências.

Joris Donders
fonte
0

Quando eu executava servidores públicos, eu os instalava em um ambiente sem rede e instalava o Tripwire neles ( http://sourceforge.net/projects/tripwire/ ).

O Tripwire basicamente verificou todos os arquivos no sistema e gerou relatórios. Você pode excluir os que você diz que têm permissão para alterar (como arquivos de log) ou dos quais não se importa (arquivos de correio, locais de cache do navegador, etc.).

Foi muito trabalhoso revisar os relatórios e configurá-lo, mas foi bom saber que, se um arquivo foi alterado e você não instalou uma atualização para alterá-lo, sabia que havia algo que precisava ser investigado. Na verdade, nunca precisei de tudo isso, mas estou feliz por executá-lo junto com o software de firewall e verificações regulares de portas da rede.

Nos últimos dez anos, tive apenas que manter minha máquina pessoal, e com mais ninguém tendo acesso físico ou contas na caixa e sem serviços públicos (ou muitas razões para segmentar minha máquina especificamente). um pouco mais relaxado, então eu não uso o Tripwire há anos ... mas pode ser algo que você está procurando para gerar relatórios de alterações de arquivos.

user173411
fonte
0

A melhor coisa a fazer no seu cenário é o formato semanal ou mais curto. Instale um programa como o spideroak para sincronizar seus dados com segurança. Dessa forma, após a reformatação, tudo o que você precisa fazer é baixar o spideroak e todos os seus dados voltam. Costumava ser mais fácil com o ubuntuone, mas acabou agora :(

btw: spideroak só garante zero conhecimento se você nunca acessar seus arquivos em seu site através de uma sessão na web. você deve usar apenas o cliente do software para acessar dados e alterar sua senha.

kris
fonte