लिनक्स ट्रोजन का पता लगाने और हटाने के लिए कैसे?

मैंने हाल ही में (पुनः) इस पर ठोकर खाई:

• लिनक्स ट्रोजन लगभग एक वर्ष के लिए किसी का ध्यान नहीं जाता (अवास्तविक IRCd)

हां, मुझे पता है कि एक अविश्वसनीय स्रोत से कुछ यादृच्छिक पीपीए / सॉफ़्टवेयर को जोड़ना परेशानी (या बदतर) के लिए पूछ रहा है। मैं ऐसा कभी नहीं करता, लेकिन कई लोग करते हैं (कई लिनक्स ब्लॉग और टैब्लॉइड्स फैंसी ऐप के लिए पीपीए जोड़ने को बढ़ावा देते हैं, बिना चेतावनी के कि यह आपके सिस्टम को तोड़ सकता है या अभी भी खराब हो सकता है, आपकी सुरक्षा से समझौता कर सकता है।

ट्रोजन हॉर्स या बदमाश एप्लिकेशन / स्क्रिप्ट का पता कैसे लगाया और हटाया जा सकता है?

कोई सामान्य नुस्खा नहीं है। यदि आपके सिस्टम को किसी अज्ञात ट्रोजन से संक्रमित किया गया है, तो आप केवल इतना ही कर सकते हैं कि आप फिर से इंस्टॉल करें।

यदि आप जानते हैं कि ट्रोजन एक निश्चित तरीके से संचालित होता है - उदाहरण के लिए आप जानते हैं कि ट्रोजन कर्नेल को संक्रमित नहीं करता है - ठीक होने का कम कठोर तरीका हो सकता है। लेकिन यह पूरी तरह से यह जानने पर निर्भर करता है कि ट्रोजन कैसे व्यवहार करता है। यदि आपके पास सभी लक्षण हैं (जैसे कि आपकी सहमति के बिना आपका कंप्यूटर स्पैम भेज रहा है), तो कोई सामान्य तकनीक नहीं है: ट्रोजन डिटेक्टर को ट्रोजन डिजाइनर (और भाग्यशाली) की तुलना में अधिक स्मार्ट होना चाहिए। जहां तक ​​ट्रोजन का संबंध है, पता लगाना और छिपाना बंदूक और कवच की तरह है: इसमें तकनीकी वृद्धि है, और न ही पार्टी में आंतरिक लाभ होता है (हालांकि हैडर्स के पास सिर शुरू होता है)।

कई प्रणालियों में एक सुरक्षित वितरण चैनल है। उदाहरण के लिए, जब आप उबंटू रिपॉजिटरी से apt- आधारित टूल (apt-get, aptitude, synaptic, सॉफ्टवेयर सेंटर,…) के साथ एक पैकेज स्थापित करते हैं, तो टूल यह जांचता है कि उबंटू ट्रस्ट द्वारा पैकेज पर हस्ताक्षर किए गए (vetted) हैं। (अधिकांश वितरणों में एक समान तंत्र होता है।) जब आप पीपीए से एक पैकेज स्थापित करते हैं, तो आप सभी जान सकते हैं कि पीपीए मालिक ने पैकेज को वीट कर दिया है, जो कि आपके लिए पहली जगह में पीपीए मालिक पर भरोसा करने का कोई कारण नहीं है।

ट्रोजन और बैकडोर के बारे में, मैं दृढ़ता से केन थॉम्पसन के ट्यूरिंग अवार्ड व्याख्यान, रिफ्लेक्शंस ऑन ट्रस्टिंग ट्रस्ट को पढ़ने की सलाह देता हूं । संक्षेप में, उन्होंने संकलक को बदल दिया ताकि लॉगिन कार्यक्रम को संकलित करते समय, यह कोड जोड़ देगा जिसने उसे गुप्त पासवर्ड के साथ लॉग इन करने की अनुमति दी; फिर उसने संकलक को बदल दिया ताकि जब वह खुद संकलित हो, तो वह पिछले दरवाजे को जोड़ने के लिए कोड सम्मिलित करेगा; फिर उन्होंने पूरे सिस्टम को फिर से जोड़ दिया (विशेष रूप से लॉगिन प्रोग्राम और कंपाइलर); अंत में उन्होंने संकलक स्रोत को मूल, निर्विवाद स्रोत में बहाल कर दिया। फिर से, केन थॉम्पसन का लेख पढ़ें ; इसके बाद आप डेविड व्हीलर के प्रतिवाद को भी पढ़ सकते हैं , शायद ब्रूस श्नीयर के ब्लॉग लेख के माध्यम से सबसे अच्छा लगाया गया ।

यदि मैं सही ढंग से समझता हूं कि इस लेख में वर्णित "ट्रोजन" को "सामान्य" तरीके से "सामान्य" मैलवेयर के रूप में नहीं खोजा जा सकता है। यह IRCd सामान्य रूप से तब तक व्यवहार कर रहा था जब तक कि उसका उपयोग नहीं किया गया था, इसलिए व्यवस्थापक इस सुरक्षा छेद को केवल तब ही खोज सकता है जब: 1) इसका उपयोग किया गया था और इस छेद द्वारा की गई कार्रवाई लॉग में प्रवेश का कारण बनी या किसी अन्य तरीके से दिखाई दे रही थी, 2) स्रोत कोड पढ़ना।

लिनक्स या एवी लाइवसीडी रेस्क्यू डिस्क के लिए एवी सॉफ्टवेयर द्वारा "रियल" लिनक्स मैलवेयर का भी पता लगाया जाना चाहिए, ताकि आप इस सॉफ्टवेयर का उपयोग करके कंप्यूटर को स्कैन कर सकें। जैसा कि आप सूची में सिक्योर लिस्ट में देख सकते हैं कि लिनक्स में नाम के साथ 1941 प्रविष्टियां हैं और उस सॉफ्टवेयर का पता कैस्परस्की सॉफ्टवेयर द्वारा लगाया जाना चाहिए। इस सूची पर त्वरित रूप से पता चलता है कि कई प्रविष्टियाँ कुछ DDoS टूल और कारनामों या टूल के बारे में हैं जो स्वचालित रूप से फैल नहीं सकते हैं और केवल हमले के लिए उपकरण के रूप में उपयोग किए जा सकते हैं (इसलिए हानिकारक नहीं हैं)।

पटाखा द्वारा स्थापित बैकस्ट / रूटकिट्स की जांच के लिए आप उस टूल का उपयोग कर सकते हैं जो फ़ाइल चेकसम को चेक करता है (आपको क्लीन सिस्टम पर फाइलों और चेकसमों की सूची तैयार करनी चाहिए और सर्वर सॉफ्टवेयर अपडेट के बाद इसे अपडेट करना चाहिए)। गलत चेकसम के साथ हर नई फ़ाइल या फ़ाइल संदिग्ध है। चेकसम और टूल की सूची जो इसे उत्पन्न करती है, केवल माध्यम पर होनी चाहिए (पटाखा भी उदाहरण के लिए बदल सकता है md5sum यह स्वयं का संस्करण है जो गलत चेकसम दिखाता है)। मैलवेयर खोजने का यह तरीका 'स्थिर' सिस्टम पर इस्तेमाल किया जा सकता है, जहाँ हर दिन सॉफ़्टवेयर अपग्रेड नहीं किया जाता है।

netstatनेटवर्क ट्रैफ़िक की जांच के लिए स्थानीय रूप से चलाकर कुछ मैलवेयर का पता लगाया जा सकता है , लेकिन अगर सिस्टम संक्रमित है तो डेटा को दिखाया netstatजा सकता है। इस मामले में कुछ समाधान दूसरे कंप्यूटर से नेटवर्क ट्रैफ़िक की निगरानी करना है (उदाहरण के लिए राउटर से, यह जांचने के लिए कि इंटरनेट पर ट्रैफ़िक क्या भेजा गया है)।

ट्रोजन / रूटकिट और अन्य संक्रमणों की रोकथाम के लिए SELinux और AppArmor मौजूद हैं। मैं मामले को SELinux के लिए बताता हूं, जिसे मैं बेहतर जानता हूं। SELinux सक्षम होने के साथ, आप मशीन पर स्थापित सभी प्रक्रिया (डेमन शामिल) को एक संदर्भ देते हैं। आप उन्हें मेल खाते हुए संदर्भ के साथ काम करने के लिए फ़ाइल सिस्टम पर भी लेबल लगाते हैं। जब कोई प्रक्रिया इसके संदर्भ में कुछ नहीं करने की कोशिश करती है, तो आपको एक संदेश प्राप्त होता है, और, अगर SELinux मोड लागू करने में है, तो कार्रवाई पूरी नहीं हो सकती है।
इस तरह, यदि आपका ircd ट्रोजन ps कमांड या कुछ और (ट्रोजन / रूटकिट्स / कीड़े से बचने के लिए आम रणनीति) को अधिलेखित करने के लिए तैयार था, तो मुझे ऐसा करने की अनुमति नहीं होगी। और आपको सूचित किया जाएगा।
मुझे पता है कि इसे कॉन्फ़िगर करना मुश्किल है, लेकिन मेरी मशीनें अभी SELinux के साथ काम कर रही हैं, और मेरे (दो) फेडोरा लैपटॉप बहुत ज्यादा परेशानी के बिना डेस्कटॉप जरूरतों के लिए कुछ भी कर सकते हैं।
यहां तक ​​कि मेरा होम सर्वर भी अब लागू हो रहा है।
एक अन्य रणनीति रूटकिट डिटेक्टरों की एक नियमित दौड़ है जो कि संज्ञानात्मक आदेशों के लिए एक चेकसम की गणना करती है, और आपको मूल आदेशों में परिवर्तन के बारे में सूचित करती है।
मैं SELinux और rkhunter सक्षम (प्लस a clamav एंटीवायरस) दोनों के साथ काम करता हूं।

सादर

एक अन्य प्रतिक्रिया में कहा गया है कि "हेटर्स" (चुपके मैलवेयर) का "डिटेक्टर" पर आंतरिक लाभ है। मैं असहमत हूं। यह सच है अगर आप अपने आप को ऐसे डिटेक्ट दृष्टिकोणों तक सीमित कर लेते हैं जो मैलवेयर का पता लगाने के लिए हस्ताक्षर या आंकड़े पर निर्भर करते हैं। लेकिन मैलवेयर का पता लगाने का एक और तरीका है: ज्ञात वस्तुओं को सत्यापित करना। Tripwire, AIDE, आदि डिस्क पर फ़ाइलों को सत्यापित कर सकते हैं। दूसरा देखो चल रहे कर्नेल और प्रक्रियाओं को सत्यापित कर सकता है। सेकंड लुक ऑपरेटिंग सिस्टम, सक्रिय सेवाओं और अनुप्रयोगों का सीधे निरीक्षण करने के लिए मेमोरी फोरेंसिक का उपयोग करता है। यह लिनक्स वितरण विक्रेता द्वारा जारी की गई मेमोरी में कोड की तुलना करता है। इस तरह यह रूटकिट्स और बैकडोर द्वारा किए गए दुर्भावनापूर्ण संशोधनों और अनधिकृत कार्यक्रमों को अंजाम दे सकता है जो निष्पादित कर रहे हैं (ट्रोजन, आदि)।

(खुलासा: मैं सेकेंड लुक का मुख्य डेवलपर हूं।)