내 컴퓨터에 설치되었을 수있는 맬웨어를 어디에서 찾을 수 있습니까?

우분투 상자를 분석하여 해킹 당했는지 감지하고 싶습니다. 내 질문은 : 일부 악성 소프트웨어가 시작되었는지 알아볼 수있는 곳은 어디입니까? 다음은 일종의 원시 목록입니다.

1. mbr
2. 커널 이미지 (md5가 있습니다)
3. / sbin / init (md5가 있습니다)
4. / etc / modules의 커널 모듈
5. /etc/init.d 및 / etc / init의 모든 서비스 스크립트 (md5가 있습니다)
6. /etc/rc.local
7. 그놈 자동 실행

그리고?

내 질문은 완전히 정직하고 악의가 아닙니다. 내 상자가 손상되었는지 감지하는 것입니다.

맬웨어의 목적은 무언가를하는 것입니다. 따라서 외부 세계와 소통해야합니다. 따라서 가장 좋은 방법은 컴퓨터에서 발생하는 네트워크 트래픽을 살펴 보는 것입니다.

나는 dnstop 유틸리티를 좋아합니다. 에 의해 설치sudo apt-get install dnstop

그런 다음 네트워크 카드에 대해 유틸리티를 실행하십시오.

sudo dnstop -l 3 eth0

유틸리티가 실행되면 3 키를 누르면 컴퓨터에서 수행 한 모든 DNS 요청을 표시하도록 화면이 변경됩니다.

제 경우에는 우분투에 가서 다음에 액세스하려고했습니다.

Query Name               Count      %   cum%
-------------------- --------- ------ ------
www.gravatar.com             2   40.0   40.0
askubuntu.com                2   40.0   80.0
ny.stackexchange.com         1   20.0  100.0

어떤 웹 사이트에 액세스했는지 알 수 있습니다. 당신이해야 할 일은 아무것도하지 않고 앉아서 컴퓨터가 액세스하는 것을보기 위해 잠시 기다립니다. 그런 다음 액세스하는 모든 웹 사이트를 철저히 추적합니다.

사용할 수있는 도구가 많이 있습니다. 사용하기 쉬운 도구라고 생각했습니다.

PC가 이미 감염되었는지 알 수 없습니다. 컴퓨터에서 들어오는 트래픽을 들으면 알 수 있습니다. 다음은 시스템이 정상인지 확인하기 위해 수행 할 수있는 작업입니다. 100 %는 아무것도 없다는 것을 명심하십시오.

• 루트 계정을 활성화하지 마십시오
• 최신 보안 업데이트가 나 오자마자 확인하십시오
• 거의 사용하지 않거나 절대 사용하지 않을 소프트웨어를 설치하지 마십시오
• 시스템에 강력한 비밀번호가 있는지 확인하십시오
• 필요하지 않은 서비스 나 프로세스를 끄십시오
• 좋은 AV를 설치하십시오 (Windows를 많이 다루는 경우 또는 Windows 기반 바이러스가 포함 된 전자 메일 일 수 있습니다).

당신이 해킹 당했는지 알아내는 한; 팝업 광고, 방문하지 않으려는 사이트로 리디렉션 등이 표시됩니다.

나는 /sys /boot /etc다른 것들 중에서도 중요한 것으로 간주 되어야 할 것입니다 .

휘발성 또는 휘발성 과 같은 메모리 포렌식 도구를 사용하여 Linux 맬웨어를 탐지 할 수도 있습니다.

또한 안티 바이러스 소프트웨어가 필요한 이유는 무엇입니까?를 참조하십시오. . 안티 바이러스 소프트웨어를 설치하려면 ClamAV 를 설치하는 것이 좋습니다.

또한 rkhunter일반적인 루트킷과 트로이 목마를 찾기 위해 PC를 검사 할 수도 있습니다 .

BackTrack과 같은 특수 배포판에는 사용자와 같은 상황을 분석하는 소프트웨어가 포함되어 있습니다. 이러한 도구는 고도로 전문화 된 특성으로 인해 일반적으로 매우 가파른 학습 곡선이 있습니다. 그러나 이것이 진정으로 당신에게 관심사라면, 그것은 잘 보냈다.

시스템을 VM으로 실행하면 위험 가능성이 제한적입니다 (다른 사람들을 위해 언급 할 것입니다). 이 경우 전원 버튼으로 문제를 해결하고 프로그램을 샌드 박스 안에 보관하십시오 (~ 당). 강력한 비밀번호. 캔트가 충분히 말해 SA 관점에서 볼 때 첫 번째 방어선입니다. 내 경험상 9 문자를 좋아하지 말고 Specials를 사용하고 대문자 + 소문자 + 숫자도 사용하십시오. 힘들게 들린다. 그것은 간단합니다. 예 ... 'H2O = O18 + o16 = water'일부 임시 비밀번호에 화학을 사용합니다. H2O는 물이지만 O18과 O16은 다른 산소 동위 원소이지만 결과적으로 물이 있습니다. "H2O = O18 + o16 = water". 그래서 컴퓨터 / 서버 / 터미널 'Waterboy'라고 부르십시오. 도움이 될 수 있습니다.

내가 못 생겼어?!?!

ClamAV (softwarecenter)를 설치 및 실행하고 컴퓨터에서 악성 소프트웨어를 확인할 수 있습니다. Wine이 설치되어있는 경우 : Synaptic (완전 제거)을 통해 제거하고 필요한 경우 다시 설치하십시오.

기록을 위해 : Linux 용 악성 소프트웨어는 거의 없으며 (이전에는 Windows와 함께 사용하지 마십시오 !!) 시스템이 손상 될 가능성은 거의 없습니다. 좋은 조언은 루트에 강력한 암호를 선택하는 것입니다 (필요한 경우 쉽게 변경할 수 있음).

우분투와 악성 소프트웨어에 대해 망설이지 마십시오. 소프트웨어 센터 라인 내에 유지 / 임의의 PPA를 설치하지 않음 / 보증 또는 인증 된 배경이없는 .deb- 패키지를 설치하지 마십시오. 이렇게하면 시스템이 번거 로움없이 깨끗하게 유지됩니다.

모든 쿠키를 삭제하고 기록을 정리하기 위해 Firefox 브라우저 (또는 Chromium)를 닫을 때마다 제거하는 것이 좋습니다. 이것은 환경 설정에서 쉽게 설정됩니다.

공용 서버를 실행했을 때 네트워크로 연결되지 않은 환경에 설치 한 다음 Tripwire를 설치했습니다 ( http://sourceforge.net/projects/tripwire/ ).

Tripwire는 기본적으로 시스템의 모든 파일을 확인하고 보고서를 생성했습니다. 로그 파일과 같이 변경이 허용되거나 메일 파일, 브라우저 캐시 위치 등 관심없는 항목은 제외 할 수 있습니다.

보고서를 살펴보고 설정하는 데 많은 작업이 있었지만 파일이 변경되고 업데이트를 설치하여 변경하지 않은 경우 조사해야 할 사항이 있음을 알고있었습니다. 나는 실제로이 모든 것을 필요로하지는 않았지만 방화벽 소프트웨어 및 네트워크의 정기적 인 포트 스캔과 함께 그것을 실행하게되어 기쁘다.

지난 10 년 동안 나는 개인 컴퓨터 만 유지해야했으며 다른 사람이 상자에 물리적으로 액세스하거나 계정을 가지고 있지 않았으며 공공 서비스가 없었습니다. 조금 더 느슨해 져서 몇 년 동안 Tripwire를 사용하지 않았지만 파일 변경에 대한 보고서를 생성하기 위해 찾고있는 것일 수 있습니다.

시나리오에서 가장 좋은 것은 매주 또는 더 짧은 형식입니다. spideroak과 같은 프로그램을 설치하여 데이터를 안전하게 동기화하십시오. 다시 포맷 한 후에는 Spideroak을 다운로드하면 모든 데이터가 다시 나타납니다. 우분투 원에서는 쉬웠지만 지금은 사라졌습니다.

btw : spideroak은 웹 세션을 통해 자신의 사이트에있는 파일에 절대 액세스하지 않는 경우 지식이 전혀 없음을 보장합니다. 데이터에 액세스하고 비밀번호를 변경하려면 해당 소프트웨어 클라이언트 만 사용해야합니다.