मैं मैलवेयर के लिए कहां देख सकता हूं जो मेरी मशीन पर स्थापित हो सकता है?

मैं अपने ubuntu बॉक्स का विश्लेषण करना चाहता हूं ताकि यह पता लगाया जा सके कि इसे हैक किया गया है। मेरा सवाल यह है: क्या वे सभी स्थान हैं जहाँ खोज करना है कि क्या कुछ दुर्भावनापूर्ण सॉफ़्टवेयर शुरू किए गए हैं? निम्नलिखित कुछ प्रकार की कच्ची सूची है:

1. एमबीआर
2. कर्नेल छवि (मेरे पास md5 है)
3. / sbin / init (मेरे पास md5 है)
4. कर्नेल मॉड्यूल / etc / मॉड्यूल में
5. /etc/init.d और / etc / init में सभी सेवाओं की स्क्रिप्ट (मेरे पास md5 है)
6. /etc/rc.local
7. सूक्ति स्वर

तथा ?

मेरा प्रश्न पूरी तरह से ईमानदार है और दुर्भावनापूर्ण नहीं है। यह केवल यह पता लगाने के लिए है कि मेरे बॉक्स से समझौता किया गया था या नहीं।

मैलवेयर का उद्देश्य कुछ करना है। इसलिए इसे बाहरी दुनिया के साथ संवाद करने की आवश्यकता होगी। इसलिए सबसे अच्छा तरीका यह है कि आपके कंप्यूटर पर होने वाले नेटवर्क ट्रैफ़िक पर एक नज़र डालें।

मुझे dnstop उपयोगिता पसंद है। द्वारा स्थापित करेंsudo apt-get install dnstop

फिर अपने नेटवर्क कार्ड के खिलाफ उपयोगिता चलाएं

sudo dnstop -l 3 eth0

जब उपयोगिता 3 कुंजी दबाती है, तो यह आपके कंप्यूटर द्वारा किए गए सभी डीएनएस अनुरोधों को प्रदर्शित करने के लिए स्क्रीन को बदल देगा।

मेरे मामले में मैं उबंटू गया और इसने निम्नलिखित तक पहुँचने की कोशिश की

Query Name               Count      %   cum%
-------------------- --------- ------ ------
www.gravatar.com             2   40.0   40.0
askubuntu.com                2   40.0   80.0
ny.stackexchange.com         1   20.0  100.0

इससे मुझे अंदाजा होता है कि कौन सी वेब साइटें एक्सेस की गई थीं। आपको जो करने की आवश्यकता है वह कुछ भी नहीं है और वापस बैठकर कुछ समय तक प्रतीक्षा करें कि आपका कंप्यूटर क्या देख रहा है। फिर श्रमपूर्वक उन सभी वेब साइटों पर फॉलो-अप करें जो इसे एक्सेस करती हैं।

आपके द्वारा उपयोग किए जा सकने वाले कई उपकरण हैं, मैंने सोचा कि यह आपके लिए एक आसान प्रयास था।

आप कभी नहीं जान सकते कि आपका पीसी पहले से संक्रमित है या नहीं। आप अपने कंप्यूटर से आने वाले ट्रैफ़िक को सुनकर बता सकते हैं। नीचे कुछ चीजें हैं जो आप यह सुनिश्चित करने के लिए कर सकते हैं कि आपका सिस्टम ठीक है। ध्यान रखें कि कुछ भी 100% नहीं है।

• सुनिश्चित करें कि आप रूट खाता सक्षम नहीं करते हैं
• सुनिश्चित करें कि आपके पास नवीनतम सुरक्षा अपडेट जैसे ही वे बाहर आते हैं
• ऐसा सॉफ़्टवेयर स्थापित न करें जिसे आप जानते हों कि आप शायद ही कभी उपयोग करेंगे या नहीं करेंगे
• सुनिश्चित करें कि आपके सिस्टम में मजबूत पासवर्ड हैं
• उन सेवाओं या प्रक्रियाओं को बंद करें जिनकी आवश्यकता नहीं है
• एक अच्छा AV स्थापित करें (यदि आप विंडोज के साथ बहुत काम कर रहे हैं, या शायद एक ईमेल जिसमें विंडोज आधारित वायरस हो सकता है।)

जहां तक ​​यह पता लगाने के लिए कि क्या आपको हैक किया गया है; आपको ऐसे पॉप-अप विज्ञापन मिलेंगे, जिन साइटों पर आप जाने का इरादा नहीं करते हैं, आदि।

मुझे यह कहना होगा कि /sys /boot /etcदूसरों के बीच महत्वपूर्ण माना जाता है।

लिनक्स मालवेयर को मेमोरी फोरेंसिक्स टूल्स जैसे कि वेलेटिलिटी या अस्थिरता का उपयोग करके भी पता लगाया जा सकता है

इसके अलावा, आप यह देखना चाह सकते हैं कि मुझे एंटी-वायरस सॉफ़्टवेयर की आवश्यकता क्यों है? । यदि आप एक एंटी-वायरस सॉफ़्टवेयर स्थापित करना चाहते हैं, तो मैं आपको क्लैमव स्थापित करने की सलाह दूंगा

आप यह भी कोशिश कर सकते हैं rkhunterजो आपके पीसी को बहुत सारे सामान्य रूटकिट और ट्रोजन हॉर्स के लिए स्कैन करता है।

बैकट्रैक जैसे विशेष वितरण हैं जिनमें आपकी जैसी स्थितियों का विश्लेषण करने के लिए सॉफ़्टवेयर शामिल हैं। इन उपकरणों की अत्यधिक विशिष्ट प्रकृति के कारण आम तौर पर उनके साथ जुड़े एक बहुत ही सीखने की अवस्था है। लेकिन तब अगर यह वास्तव में आपके लिए चिंता का विषय है, तो यह समय अच्छी तरह से व्यतीत होता है।

यह आपके लिए स्पष्ट है (दूसरों के लिए मैं इसका उल्लेख करूंगा) यदि आपका सिस्टम वीएम के रूप में चल रहा है तो आपका जोखिम संभावित है। पावर बटन उस स्थिति में चीज़ को ठीक करता है, प्रोग्राम को अपने सैंडबॉक्स के अंदर रखें (प्रति ~ से)। मजबूत पासवर्ड। खिचड़ी भाषा कहती है। SA दृश्य बिंदु से, यह आपकी पहली पंक्ति की रक्षा है। अंगूठे का मेरा नियम, 9 गोले वाले बैले मत जाओ, स्पेशल का उपयोग करें, और अपर + लोअर केस + नंबर भी। यह सही लगता है। यह आसान है। उदाहरण ... 'H2O = O18 + o16 = water'I कुछ इंटरस्टिंग पासवर्ड के लिए केमेस्ट्री का उपयोग करता है। एच 2 ओ पानी है, लेकिन ओ 18 और ओ 16 अलग-अलग ऑक्सीजन आइसोटोप हैं, लेकिन अंत में, परिणाम पानी है, वहाँ "एच 2 ओ = ओ 18 + ओ 16 = पानी '.. मजबूत पैस्वर्ड। इसके साथ जाओ .. आम शिकायत यह फिर से कर रही है। .तो उस कंप्यूटर / सर्वर / टर्मिनल 'वॉटरबॉय' को कॉल करें इससे मदद मिल सकती है।

क्या मैं बाहर निकल रहा हूँ?!?!?

आप ClamAV (सॉफ्टवेयरसेंटर) स्थापित और चला सकते हैं और अपने कंप्यूटर पर दुर्भावनापूर्ण सॉफ़्टवेयर की जांच कर सकते हैं। क्या आपके पास वाइन स्थापित होना चाहिए: इसे सिनैप्टिक (पूर्ण निष्कासन) के माध्यम से शुद्ध करें, और यदि नेस्सेरी को फिर से स्थापित करें।

रिकॉर्ड के लिए: लिनक्स के लिए बहुत कम दुर्भावनापूर्ण सॉफ़्टवेयर हैं (इसे विंडोज के साथ अतीत के साथ मत मिलाइए!), ताकि आपके सिस्टम से छेड़छाड़ करने की संभावना लगभग शून्य हो। एक अच्छी सलाह यह है: अपनी जड़ के लिए एक मजबूत पासवर्ड चुना (आप आसानी से बदल सकते हैं कि अगर नेस्सेरी है)।

Ubuntu और दुर्भावनापूर्ण सॉफ़्टवेयर के बारे में parano getd के लिए मत जाओ; सॉफ़्टवेयरसेंटर की पंक्तियों के भीतर रहें / यादृच्छिक पीपीए स्थापित न करें / स्थापित न करें। ऐसे पैकेज जिनमें कोई गारंटी नहीं है और न ही प्रमाणित पृष्ठभूमि; ऐसा करने से आपका सिस्टम बिना बाधा के साफ रहेगा।

यह भी सलाह दी जाती है कि जब आप अपने कुकीज़ को हटा दें और अपना इतिहास साफ़ कर लें, तो हर बार अपने फ़ायरफ़ॉक्स-ब्राउज़र (या क्रोमियम) को बंद कर दें; यह आसानी से वरीयताओं में निर्धारित है।

जब मैं सार्वजनिक सर्वर चलाता था, तो मैं उन्हें गैर-नेटवर्क वाले वातावरण में स्थापित करता था और फिर उन पर ट्रिपवायर स्थापित करता था; http://sourceforge.net/projects/tripwire/ )।

ट्रिपवायर ने मूल रूप से सिस्टम की सभी फाइलों की जाँच की और रिपोर्ट तैयार की। आप उन लोगों को बाहर कर सकते हैं जिन्हें आप कहते हैं कि उन्हें बदलने की अनुमति है (जैसे लॉग फ़ाइलें) या जिनके बारे में आपको परवाह नहीं है (मेल फ़ाइलों, ब्राउज़र कैश स्थानों, आदि)।

यह बहुत सारे काम थे जो रिपोर्ट के माध्यम से जा रहे थे और इसे स्थापित कर रहे थे, लेकिन यह जानकर अच्छा लगा कि यदि कोई फ़ाइल बदल गई, और आपने इसे बदलने के लिए कोई अपडेट स्थापित नहीं किया, तो आप जानते हैं कि कुछ ऐसा था जिसकी जांच की आवश्यकता थी। मुझे वास्तव में कभी भी इस सब की आवश्यकता नहीं थी, लेकिन मुझे खुशी है कि हमने इसे फ़ायरवॉल सॉफ़्टवेयर और नेटवर्क के नियमित पोर्ट स्कैन के साथ चलाया।

पिछले 10 वर्षों से या तो मुझे केवल अपनी व्यक्तिगत मशीन को बनाए रखना है, और किसी और के पास बॉक्स पर भौतिक पहुंच या खाते नहीं हैं, और कोई सार्वजनिक सेवा नहीं है (या मेरी मशीन को विशेष रूप से लक्षित करने के लिए बहुत कारण) थोड़ा और शिथिलता इसलिए मैंने सालों में ट्रिपवायर का इस्तेमाल नहीं किया है ... लेकिन यह कुछ ऐसा हो सकता है जिसे आप फ़ाइल परिवर्तनों की रिपोर्ट तैयार करने के लिए देख रहे हैं।

अपने परिदृश्य में करने के लिए सबसे अच्छी बात प्रारूप साप्ताहिक या कम है। अपने डेटा को सुरक्षित रूप से सिंक करने के लिए स्पिडेरॉक जैसे प्रोग्राम इंस्टॉल करें। इस तरह से सभी सुधार करने के बाद आपको spideroak डाउनलोड करना होगा और आपका सारा डेटा वापस आ जाएगा। यह ubuntuone के साथ आसान हुआ करता था, लेकिन अब यह चला गया है :(

btw: spideroak केवल शून्य ज्ञान की गारंटी देता है यदि आप कभी भी वेब सत्र के माध्यम से अपनी फ़ाइलों को उनकी साइट पर एक्सेस नहीं करते हैं। डेटा तक पहुंचने और अपना पासवर्ड बदलने के लिए आपको केवल उनके सॉफ़्टवेयर क्लाइंट का उपयोग करना होगा।