マシンにインストールされている可能性のあるマルウェアはどこで確認できますか?


23

ハッキングされたかどうかを検出するために、ubuntuボックスを分析したいと思います。私の質問は次のとおりです。悪意のあるソフトウェアが開始されているかどうかを確認するためのすべての場所は何ですか?以下は、ある種の生のリストです。

  1. mbr
  2. カーネルイメージ(md5があります)
  3. / sbin / init(md5があります)
  4. / etc / modules内のカーネルモジュール
  5. /etc/init.dおよび/ etc / initのすべてのサービススクリプト(md5があります)
  6. /etc/rc.local
  7. ノーム自動実行

そして?

私の質問は完全に正直で、悪意はありません。私の箱が侵害されたかどうかを検出するだけです。

回答:


25

マルウェアの目的は、何かをすることです。そのため、外の世界と通信する必要があります。したがって、最善のアプローチは、コンピューターで発生しているネットワークトラフィックを調べることです。

dnstopユーティリティが好きです。でインストールsudo apt-get install dnstop

次に、ネットワークカードに対してユーティリティを実行します

sudo dnstop -l 3 eth0

ユーティリティを実行するときに3キーを押すと、画面が変更され、コンピューターによって行われたすべてのDNS要求が表示されます。

私の場合、Ubuntuに行き、以下にアクセスしようとしました

Query Name               Count      %   cum%
-------------------- --------- ------ ------
www.gravatar.com             2   40.0   40.0
askubuntu.com                2   40.0   80.0
ny.stackexchange.com         1   20.0  100.0

これにより、どのWebサイトがアクセスされたかがわかります。あなたがする必要があるのは、何もせずに座って、コンピュータがアクセスするものを見るためにしばらく待つことです。次に、アクセスするすべてのWebサイトを面倒にフォローアップします。

使用できるツールは多数ありますが、試してみるのは簡単だと思いました。


うーん、私は最も愚かなルートキットが自分自身とそのトラフィックを隠すと思います。
ルイージ

@Luigiが言ったように、法医学分析のためのツールはたくさんあります。もしそうなら。Wiresharkを使用して、ネットワークセグメントのトラフィックを見て心配しているのは、ハードウェアレベルで作業しているため、偽造することはほとんど不可能です。あなたがより妄想的であれば、あなたのセグメントのクリーンなコンピューターでWiresharkを実行できます。
ミーアボルグ

わかりましたが、livecdでオフラインシステムを分析するのが最善の方法だと思います。巧妙なマルウェアは、他のデータストリームがある場合にのみ情報を外部に送信できるか、秘密のチャネルで情報を送信できるため、より簡単だと思います。
ルイージ

@Luigiと、何千ものプログラムのうちどれが侵害されているかをどのようにして確認しますか?クリーンなシステムに対してmd5ハッシュを実行し、システムと比較しますか?最良のオプションは、コンピューター、MBRをワイプし、ハードディスクを廃棄することです。経歴?多くの攻撃ベクトル。それは大変な仕事であり、あなたは十分な情報を得ているようです。しかし、このスーパーステルス「ウイルス」に感染していると信じるようになったのはなぜですか?
ミーアボルグ

1
ほとんどのLinuxディストリビューションには、パッケージに含まれるほとんどすべてのmd5ファイルがあります。たとえば、Ubuntuには問題があります。したがって、システム全体の大きなチェックを行うのは非常に簡単です。ただし、もちろん、一部のファイルはハッシュされません。たとえば、mbr。ただし、カーネルイメージとすべてのモジュールにはmd5(およびmd5の衝突を避けるためにsha1またはsha256)があり、/ sbin / initでも同じです。ハッシュされていないものだけをチェックする必要がありますが、ブートプロセスを非常に深く知る必要があります。
ルイージ

6

PCがすでに感染しているかどうかはわかりません。お使いのコンピューターからのトラフィックを聞くことで判断できる場合があります。以下は、システムに問題がないことを確認するためにできることです。100%ではないことに注意してください。

  • ルートアカウントを有効にしないでください
  • 最新のセキュリティ更新プログラムがリリースされたらすぐに入手してください
  • ほとんど使用しない、または使用しないことがわかっているソフトウェアをインストールしないでください。
  • システムに強力なパスワードがあることを確認してください
  • 不要なサービスやプロセスをオフにします
  • 適切なAVをインストールします(Windowsを頻繁に処理する場合、またはWindowsベースのウイルスを含む可能性のある電子メールを処理する場合)。

あなたがハッキングされているかどうかを調べる限り。ポップアップ広告が表示されたり、アクセスする予定のないサイトにリダイレクトされたりします。

/sys /boot /etcとりわけ重要だと考えられていることを言わなければなりません。

Linuxマルウェアは、VolatilityVolatilityなどのメモリフォレンジックツールを使用して検出することもできます。

また、なぜアンチウイルスソフトウェアが必要なのかをご覧ください。。ウイルス対策ソフトウェアをインストールする場合は、ClamAVをインストールすることをお勧めします


3

またrkhunter、多くの一般的なルートキットやトロイの木馬についてPCをスキャンすることもできます。


rkhunterのさらにそれは...任意のパブリックルートキットを取り、rkhunterのからそれが検出できない作るソースを変更することは非常に簡単です、唯一の既知のルートキットを検出
ルイジ

1

あなたのような状況を分析するソフトウェアを含むBackTrackのような特殊なディストリビューションがあります。これらのツールは高度に特殊化されているため、通常は非常に急な学習曲線が関連付けられています。しかし、もしこれが本当にあなたにとっての懸念であれば、それは十分に費やされた時間です。


私はバックトラックを知っていますが、そのような種類のチェックを自動的に行うソフトウェアはありません。
ルイージ

それは簡単だった場合@Luigiは私が... 6桁の給料とITセキュリティ/法医学アナだろう
hmayag

1

システムをVMとして実行している場合、リスクの可能性が制限されていることは明らかです(他の人のために説明します)。その場合、電源ボタンで問題を修正します。プログラムをサンドボックス内に保持します(毎回)。強力なパスワード。カントはそれを十分に言います。SAの観点から見ると、これは最初の防衛線です。私の経験則では、9人のキャラクターを愛してはいけません、スペシャルを使用し、大文字+小文字+数字も使用します。難しいですね。それは簡単です。例...「H2O = O18 + o16 = water」私はいくつかの興味深いパスワードにケメストリーを使用しています。H2Oは水ですが、O18とO16は異なる酸素同位体ですが、最終的には水が存在するため、「H2O = O18 + o16 = water '」です。強力な剣。それと一緒に行きます。 。そのコンピューター/サーバー/ターミナルを「ウォーターボーイ」と呼んでください。

私はオタクですか?!?!


0

ClamAV(softwarecenter)をインストールして実行し、コンピューターに悪意のあるソフトウェアがないか確認できます。Wineがインストールされている場合:Synaptic(完全な削除)を介してパージし、必要に応じて再インストールします。

記録のために:Linux用の悪意のあるソフトウェアはほとんどありません(Windowsと過去を混ぜないでください!!)。したがって、システムが危険にさらされる可能性はほとんどありません。良いアドバイスは、ルートに強力なパスワードを選択することです(必要に応じて簡単に変更できます)。

Ubuntuや悪意のあるソフトウェアについては妄想しないでください。softwarecenterの行内にとどまる/ランダムなPPAをインストールしない/保証も認定された背景もない.debパッケージをインストールしないでください。そうすることで、システムは手間をかけずにクリーンなままになります。

また、すべてのCookieを削除して履歴をクリーンアップするため、Firefoxブラウザー(またはChromium)を閉じるたびに削除することをお勧めします。これは設定で簡単に設定できます。


0

パブリックサーバーを実行したときに、ネットワーク化されていない環境にインストールし、Tripwireをインストールします(http://sourceforge.net/projects/tripwire/)。

Tripwireは基本的にシステム上のすべてのファイルをチェックし、レポートを生成しました。変更が許可されている(ログファイルなど)または気にしない(メールファイル、ブラウザキャッシュの場所など)を除外できます。

レポートを調べて設定するのは大変な作業でしたが、ファイルが変更され、それを変更するための更新プログラムをインストールしなかった場合、調査する必要があることがわかっていることを知ってうれしかったです。これは実際には必要ありませんでしたが、ファイアウォールソフトウェアおよびネットワークの定期的なポートスキャンと一緒に実行できたことをうれしく思います。

過去10年ほどの間、私は自分の個人用マシンを保守するだけでよく、他の誰も箱に物理的なアクセスやアカウントを持たず、公共サービスもありません(または、マシンを特にターゲットにする多くの理由)もう少しゆるいので、私は何年もTripwireを使用していません...


0

シナリオで行うのに最適なのは、毎週またはそれより短い形式です。spideroakなどのプログラムをインストールして、データを安全に同期します。再フォーマット後、必要なのはspideroakをダウンロードするだけで、すべてのデータが返されます。以前はubuntuoneの方が簡単でしたが、今ではなくなっています:(

btw:spideroakは、Webセッション経由でサイトのファイルにアクセスしない場合にのみゼロ知識を保証します。データへのアクセスとパスワードの変更には、ソフトウェアクライアントのみを使用する必要があります。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.