मैं मैलवेयर के लिए कहां देख सकता हूं जो मेरी मशीन पर स्थापित हो सकता है?


23

मैं अपने ubuntu बॉक्स का विश्लेषण करना चाहता हूं ताकि यह पता लगाया जा सके कि इसे हैक किया गया है। मेरा सवाल यह है: क्या वे सभी स्थान हैं जहाँ खोज करना है कि क्या कुछ दुर्भावनापूर्ण सॉफ़्टवेयर शुरू किए गए हैं? निम्नलिखित कुछ प्रकार की कच्ची सूची है:

  1. एमबीआर
  2. कर्नेल छवि (मेरे पास md5 है)
  3. / sbin / init (मेरे पास md5 है)
  4. कर्नेल मॉड्यूल / etc / मॉड्यूल में
  5. /etc/init.d और / etc / init में सभी सेवाओं की स्क्रिप्ट (मेरे पास md5 है)
  6. /etc/rc.local
  7. सूक्ति स्वर

तथा ?

मेरा प्रश्न पूरी तरह से ईमानदार है और दुर्भावनापूर्ण नहीं है। यह केवल यह पता लगाने के लिए है कि मेरे बॉक्स से समझौता किया गया था या नहीं।

जवाबों:


25

मैलवेयर का उद्देश्य कुछ करना है। इसलिए इसे बाहरी दुनिया के साथ संवाद करने की आवश्यकता होगी। इसलिए सबसे अच्छा तरीका यह है कि आपके कंप्यूटर पर होने वाले नेटवर्क ट्रैफ़िक पर एक नज़र डालें।

मुझे dnstop उपयोगिता पसंद है। द्वारा स्थापित करेंsudo apt-get install dnstop

फिर अपने नेटवर्क कार्ड के खिलाफ उपयोगिता चलाएं

sudo dnstop -l 3 eth0

जब उपयोगिता 3 कुंजी दबाती है, तो यह आपके कंप्यूटर द्वारा किए गए सभी डीएनएस अनुरोधों को प्रदर्शित करने के लिए स्क्रीन को बदल देगा।

मेरे मामले में मैं उबंटू गया और इसने निम्नलिखित तक पहुँचने की कोशिश की

Query Name               Count      %   cum%
-------------------- --------- ------ ------
www.gravatar.com             2   40.0   40.0
askubuntu.com                2   40.0   80.0
ny.stackexchange.com         1   20.0  100.0

इससे मुझे अंदाजा होता है कि कौन सी वेब साइटें एक्सेस की गई थीं। आपको जो करने की आवश्यकता है वह कुछ भी नहीं है और वापस बैठकर कुछ समय तक प्रतीक्षा करें कि आपका कंप्यूटर क्या देख रहा है। फिर श्रमपूर्वक उन सभी वेब साइटों पर फॉलो-अप करें जो इसे एक्सेस करती हैं।

आपके द्वारा उपयोग किए जा सकने वाले कई उपकरण हैं, मैंने सोचा कि यह आपके लिए एक आसान प्रयास था।


उह मुझे लगता है कि सबसे बेवकूफ रूटकिट खुद को और उसके ट्रैफ़िक को छुपाता है।
लुइगी

@ लुइगी जैसा कि मैंने कहा, फोरेंसिक विश्लेषण के लिए बहुत सारे उपकरण हैं। अगर। आप चिंतित हैं कि Wireshark का उपयोग करें और अपने नेटवर्क सेगमेंट पर ट्रैफ़िक देखें जो कि नकली के रूप में असंभव है क्योंकि आप हार्डवेयर स्तर पर काम कर रहे हैं। यदि आप अधिक पागल हैं, तो आप अपने सेगमेंट पर एक स्वच्छ कंप्यूटर पर Wireshark चला सकते हैं।
मीर बोर्ग

ठीक है, लेकिन मुझे लगता है कि लाइव एलसीडी द्वारा ऑफ़लाइन प्रणाली का विश्लेषण करने का सबसे अच्छा तरीका है। मुझे लगता है कि यह अधिक आसान है क्योंकि एक चतुर मालवेयर केवल तभी बाहर भेज सकता है जब डेटा की अन्य धाराएँ हों, या एक कवर चैनल पर जानकारी भेज सकता है।
लुइगी

@ लुइगी और आप कैसे स्थापित करते हैं जो हजारों कार्यक्रमों में से एक से समझौता किया गया है? एक साफ प्रणाली के खिलाफ md5 हैश चला रहा है और आपके सिस्टम से तुलना कर रहा है? सबसे अच्छा विकल्प कंप्यूटर, मलबे को पोंछना है, यहां तक ​​कि हार्ड डिस्क को बाहर फेंकना है? Bios? हमला वैक्टर के बहुत सारे। यह एक कठिन काम है, और आप अच्छी तरह से सूचित हैं। लेकिन क्या आपको लगता है कि आप इस सुपर स्टेल्थ "वायरस" से संक्रमित हो गए हैं?
मीर बोर्ग

1
अधिकांश लिनक्स डिस्ट्रो के पास पैकेजों में निहित लगभग सभी md5 फाइलें हैं। उदाहरण के लिए उबुन्टु में डेबसुम है। तो यह बहुत आसान है पूर्ण प्रणाली की एक बड़ी जाँच करें। लेकिन निश्चित रूप से कुछ फाइलें हैशेड नहीं हैं .. उदाहरण के लिए मलबे। लेकिन कर्नेल छवि और सभी मॉड्यूल्स में md5 (और sha1 या sha256 md5 टकराव से बचने के लिए), और / sbin / init के लिए समान है। मुझे केवल उस सामान की जांच करनी है जो हैशेड नहीं है, लेकिन मुझे बूट प्रक्रिया को बहुत गहराई से जानना है।
लुइगी

6

आप कभी नहीं जान सकते कि आपका पीसी पहले से संक्रमित है या नहीं। आप अपने कंप्यूटर से आने वाले ट्रैफ़िक को सुनकर बता सकते हैं। नीचे कुछ चीजें हैं जो आप यह सुनिश्चित करने के लिए कर सकते हैं कि आपका सिस्टम ठीक है। ध्यान रखें कि कुछ भी 100% नहीं है।

  • सुनिश्चित करें कि आप रूट खाता सक्षम नहीं करते हैं
  • सुनिश्चित करें कि आपके पास नवीनतम सुरक्षा अपडेट जैसे ही वे बाहर आते हैं
  • ऐसा सॉफ़्टवेयर स्थापित न करें जिसे आप जानते हों कि आप शायद ही कभी उपयोग करेंगे या नहीं करेंगे
  • सुनिश्चित करें कि आपके सिस्टम में मजबूत पासवर्ड हैं
  • उन सेवाओं या प्रक्रियाओं को बंद करें जिनकी आवश्यकता नहीं है
  • एक अच्छा AV स्थापित करें (यदि आप विंडोज के साथ बहुत काम कर रहे हैं, या शायद एक ईमेल जिसमें विंडोज आधारित वायरस हो सकता है।)

जहां तक ​​यह पता लगाने के लिए कि क्या आपको हैक किया गया है; आपको ऐसे पॉप-अप विज्ञापन मिलेंगे, जिन साइटों पर आप जाने का इरादा नहीं करते हैं, आदि।

मुझे यह कहना होगा कि /sys /boot /etcदूसरों के बीच महत्वपूर्ण माना जाता है।

लिनक्स मालवेयर को मेमोरी फोरेंसिक्स टूल्स जैसे कि वेलेटिलिटी या अस्थिरता का उपयोग करके भी पता लगाया जा सकता है

इसके अलावा, आप यह देखना चाह सकते हैं कि मुझे एंटी-वायरस सॉफ़्टवेयर की आवश्यकता क्यों है? । यदि आप एक एंटी-वायरस सॉफ़्टवेयर स्थापित करना चाहते हैं, तो मैं आपको क्लैमव स्थापित करने की सलाह दूंगा


3

आप यह भी कोशिश कर सकते हैं rkhunterजो आपके पीसी को बहुत सारे सामान्य रूटकिट और ट्रोजन हॉर्स के लिए स्कैन करता है।


rkhunter केवल ज्ञात रूटकिट का पता लगाता है, इसके अलावा किसी भी सार्वजनिक रूटकिट को लेना बहुत आसान है और स्रोत को rkhunter से undetectable बनाना आसान है ..
लुइगी

1

बैकट्रैक जैसे विशेष वितरण हैं जिनमें आपकी जैसी स्थितियों का विश्लेषण करने के लिए सॉफ़्टवेयर शामिल हैं। इन उपकरणों की अत्यधिक विशिष्ट प्रकृति के कारण आम तौर पर उनके साथ जुड़े एक बहुत ही सीखने की अवस्था है। लेकिन तब अगर यह वास्तव में आपके लिए चिंता का विषय है, तो यह समय अच्छी तरह से व्यतीत होता है।


मैं बैकट्रैक जानता हूं, लेकिन ऐसा कोई सॉफ्टवेयर नहीं है जो इस तरह की जांच को स्वचालित रूप से करता है।
लुइगी

@ लुइगी अगर यह आसान होता तो मैं एक आईटी सिक्योरिटी / फोरेंसिक एनालिस्ट होता जो छह फिगर वाली सैलरी के साथ ...
hmayag

1

यह आपके लिए स्पष्ट है (दूसरों के लिए मैं इसका उल्लेख करूंगा) यदि आपका सिस्टम वीएम के रूप में चल रहा है तो आपका जोखिम संभावित है। पावर बटन उस स्थिति में चीज़ को ठीक करता है, प्रोग्राम को अपने सैंडबॉक्स के अंदर रखें (प्रति ~ से)। मजबूत पासवर्ड। खिचड़ी भाषा कहती है। SA दृश्य बिंदु से, यह आपकी पहली पंक्ति की रक्षा है। अंगूठे का मेरा नियम, 9 गोले वाले बैले मत जाओ, स्पेशल का उपयोग करें, और अपर + लोअर केस + नंबर भी। यह सही लगता है। यह आसान है। उदाहरण ... 'H2O = O18 + o16 = water'I कुछ इंटरस्टिंग पासवर्ड के लिए केमेस्ट्री का उपयोग करता है। एच 2 ओ पानी है, लेकिन ओ 18 और ओ 16 अलग-अलग ऑक्सीजन आइसोटोप हैं, लेकिन अंत में, परिणाम पानी है, वहाँ "एच 2 ओ = ओ 18 + ओ 16 = पानी '.. मजबूत पैस्वर्ड। इसके साथ जाओ .. आम शिकायत यह फिर से कर रही है। .तो उस कंप्यूटर / सर्वर / टर्मिनल 'वॉटरबॉय' को कॉल करें इससे मदद मिल सकती है।

क्या मैं बाहर निकल रहा हूँ?!?!?


0

आप ClamAV (सॉफ्टवेयरसेंटर) स्थापित और चला सकते हैं और अपने कंप्यूटर पर दुर्भावनापूर्ण सॉफ़्टवेयर की जांच कर सकते हैं। क्या आपके पास वाइन स्थापित होना चाहिए: इसे सिनैप्टिक (पूर्ण निष्कासन) के माध्यम से शुद्ध करें, और यदि नेस्सेरी को फिर से स्थापित करें।

रिकॉर्ड के लिए: लिनक्स के लिए बहुत कम दुर्भावनापूर्ण सॉफ़्टवेयर हैं (इसे विंडोज के साथ अतीत के साथ मत मिलाइए!), ताकि आपके सिस्टम से छेड़छाड़ करने की संभावना लगभग शून्य हो। एक अच्छी सलाह यह है: अपनी जड़ के लिए एक मजबूत पासवर्ड चुना (आप आसानी से बदल सकते हैं कि अगर नेस्सेरी है)।

Ubuntu और दुर्भावनापूर्ण सॉफ़्टवेयर के बारे में parano getd के लिए मत जाओ; सॉफ़्टवेयरसेंटर की पंक्तियों के भीतर रहें / यादृच्छिक पीपीए स्थापित न करें / स्थापित न करें। ऐसे पैकेज जिनमें कोई गारंटी नहीं है और न ही प्रमाणित पृष्ठभूमि; ऐसा करने से आपका सिस्टम बिना बाधा के साफ रहेगा।

यह भी सलाह दी जाती है कि जब आप अपने कुकीज़ को हटा दें और अपना इतिहास साफ़ कर लें, तो हर बार अपने फ़ायरफ़ॉक्स-ब्राउज़र (या क्रोमियम) को बंद कर दें; यह आसानी से वरीयताओं में निर्धारित है।


0

जब मैं सार्वजनिक सर्वर चलाता था, तो मैं उन्हें गैर-नेटवर्क वाले वातावरण में स्थापित करता था और फिर उन पर ट्रिपवायर स्थापित करता था; http://sourceforge.net/projects/tripwire/ )।

ट्रिपवायर ने मूल रूप से सिस्टम की सभी फाइलों की जाँच की और रिपोर्ट तैयार की। आप उन लोगों को बाहर कर सकते हैं जिन्हें आप कहते हैं कि उन्हें बदलने की अनुमति है (जैसे लॉग फ़ाइलें) या जिनके बारे में आपको परवाह नहीं है (मेल फ़ाइलों, ब्राउज़र कैश स्थानों, आदि)।

यह बहुत सारे काम थे जो रिपोर्ट के माध्यम से जा रहे थे और इसे स्थापित कर रहे थे, लेकिन यह जानकर अच्छा लगा कि यदि कोई फ़ाइल बदल गई, और आपने इसे बदलने के लिए कोई अपडेट स्थापित नहीं किया, तो आप जानते हैं कि कुछ ऐसा था जिसकी जांच की आवश्यकता थी। मुझे वास्तव में कभी भी इस सब की आवश्यकता नहीं थी, लेकिन मुझे खुशी है कि हमने इसे फ़ायरवॉल सॉफ़्टवेयर और नेटवर्क के नियमित पोर्ट स्कैन के साथ चलाया।

पिछले 10 वर्षों से या तो मुझे केवल अपनी व्यक्तिगत मशीन को बनाए रखना है, और किसी और के पास बॉक्स पर भौतिक पहुंच या खाते नहीं हैं, और कोई सार्वजनिक सेवा नहीं है (या मेरी मशीन को विशेष रूप से लक्षित करने के लिए बहुत कारण) थोड़ा और शिथिलता इसलिए मैंने सालों में ट्रिपवायर का इस्तेमाल नहीं किया है ... लेकिन यह कुछ ऐसा हो सकता है जिसे आप फ़ाइल परिवर्तनों की रिपोर्ट तैयार करने के लिए देख रहे हैं।


0

अपने परिदृश्य में करने के लिए सबसे अच्छी बात प्रारूप साप्ताहिक या कम है। अपने डेटा को सुरक्षित रूप से सिंक करने के लिए स्पिडेरॉक जैसे प्रोग्राम इंस्टॉल करें। इस तरह से सभी सुधार करने के बाद आपको spideroak डाउनलोड करना होगा और आपका सारा डेटा वापस आ जाएगा। यह ubuntuone के साथ आसान हुआ करता था, लेकिन अब यह चला गया है :(

btw: spideroak केवल शून्य ज्ञान की गारंटी देता है यदि आप कभी भी वेब सत्र के माध्यम से अपनी फ़ाइलों को उनकी साइट पर एक्सेस नहीं करते हैं। डेटा तक पहुंचने और अपना पासवर्ड बदलने के लिए आपको केवल उनके सॉफ़्टवेयर क्लाइंट का उपयोग करना होगा।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.