¿Dónde puedo buscar malware que se haya instalado en mi máquina?

23

Quiero analizar mi cuadro de ubuntu para detectar si fue pirateado. Mi pregunta es: ¿dónde están todos los lugares donde buscar para descubrir si se inicia algún software malicioso? La siguiente es una especie de lista sin procesar:

  1. mbr
  2. imagen del kernel (tengo md5)
  3. / sbin / init (tengo md5)
  4. Módulos del núcleo en / etc / modules
  5. Todos los scripts de servicios en /etc/init.d y / etc / init (tengo md5)
  6. /etc/rc.local
  7. gnome autorun

y?

Mi pregunta es totalmente honesta y no maliciosa. Es solo para detectar si mi caja se ha visto comprometida.

boot security malware Luigi
fuente

Respuestas:

25

El objetivo del malware es hacer algo. Por lo tanto, deberá comunicarse con el mundo exterior. Entonces, el mejor enfoque es echar un vistazo al tráfico de red que está ocurriendo en su computadora.

Me gusta la utilidad dnstop. Instalar porsudo apt-get install dnstop

Luego ejecute la utilidad contra su tarjeta de red 

sudo dnstop -l 3 eth0

Cuando se ejecuta la utilidad, presione la tecla 3, esto cambiará la pantalla para mostrar todas las solicitudes de DNS que realiza su computadora.

En mi caso fui a Ubuntu e intenté acceder a lo siguiente

Query Name               Count      %   cum%
-------------------- --------- ------ ------
www.gravatar.com             2   40.0   40.0
askubuntu.com                2   40.0   80.0
ny.stackexchange.com         1   20.0  100.0

Esto me da una idea de a qué sitios web se accedió. Lo que debe hacer es no hacer nada, sentarse y esperar un momento para ver a qué accede su computadora. Luego, realice un seguimiento laborioso de todos los sitios web a los que accede.

Hay muchas herramientas que podrías usar, pensé que esta era fácil de probar.

Meer Borg
fuente
Creo que el rootkit más estúpido se esconde a sí mismo y a su tráfico.
Luigi
@Luigi como dije, hay muchas herramientas para el análisis forense. Si. le preocupa usar Wireshark y observar el tráfico en su segmento de red, que es bastante imposible de falsificar ya que está trabajando a nivel de hardware. Si eres más paranoico, puedes ejecutar Wireshark en una computadora limpia en tu segmento.
Meer Borg
ok, pero creo que la mejor manera es analizar el sistema fuera de línea por livecd. Creo que es más fácil porque un malware inteligente puede enviar información al exterior solo si hay otros flujos de datos o puede enviar información en un canal secreto.
Luigi
@Luigi y ¿cómo establece cuál de los miles de programas ha sido comprometido? ¿Ejecutar hash md5 contra un sistema limpio y compararlo con su sistema? ¿La mejor opción es limpiar la computadora, mbr, incluso tirar el disco duro? Bios? Muchos vectores de ataque. Es un trabajo difícil, y pareces estar bien informado. Pero, ¿qué te lleva a creer que has sido infectado por este "virus" súper sigiloso?
Meer Borg
1
La mayoría de las distribuciones de Linux tienen casi todos los md5 de los archivos contenidos en los paquetes. Por ejemplo, en Ubuntu hay debsums. Por lo tanto, es bastante fácil hacer una gran verificación del sistema completo. Pero, por supuesto, algunos archivos no tienen hash ... por ejemplo, el mbr. Pero la imagen del núcleo y todos los módulos tienen su md5 (y sha1 o sha256 para evitar la colisión de md5), y lo mismo para el / sbin / init. Solo tengo que verificar las cosas que no están en hash, pero tengo que saber de manera muy profunda el proceso de arranque.
Luigi
6

Nunca se puede saber si su PC ya está infectada o no. Es posible que pueda saberlo escuchando el tráfico proveniente de su computadora. A continuación hay algo que puede hacer para asegurarse de que su sistema esté bien. Tenga en cuenta que nada es un 100%.

  • Asegúrese de no habilitar la cuenta raíz
  • Asegúrese de tener las últimas actualizaciones de seguridad tan pronto como salgan
  • No instales software que sabes que casi nunca usarás
  • Asegúrese de que su sistema tenga contraseñas seguras
  • Apague cualquier servicio o proceso que no sea necesario
  • Instale un buen AV (si va a tratar mucho con Windows, o tal vez un correo electrónico que puede contener un virus basado en Windows).

En cuanto a averiguar si has sido pirateado; obtendrá anuncios emergentes, redireccionamientos a sitios que no tenía intención de visitar, etc.

Debo decir que /sys /boot /etcentre otros se consideran importantes.

El malware de Linux también se puede detectar utilizando herramientas forenses de memoria, como Volatility o Volatility

También es posible que desee ver ¿Por qué necesito un software antivirus? . Si desea instalar un software antivirus, le recomendaría que instale ClamAV

Mitch
fuente
3

También puede probar rkhunterqué escanea su PC en busca de muchos rootkits y troyanos comunes.

Cyril Laury
fuente
rkhunter detecta solo el rootkit conocido, además, es muy fácil tomar cualquier rootkit público y cambiar la fuente haciéndolo indetectable desde rkhunter ..
Luigi
1

Existen distribuciones especializadas como BackTrack que contienen software para analizar situaciones como la suya. Debido a la naturaleza altamente especializada de estas herramientas, generalmente hay una curva de aprendizaje bastante empinada asociada con ellas. Pero si esto es realmente una preocupación para usted, es un tiempo bien empleado.

hmayag
fuente
Sé retroceder, pero no hay ningún software que haga ese tipo de verificación automáticamente.
Luigi
@Luigi Si fuera tan fácil, sería un analista forense / de seguridad de TI con un salario de seis cifras ...
hmayag
1

Es obvio para usted (por el bien de los demás, lo mencionaré) si está ejecutando su sistema como una máquina virtual, entonces su riesgo potencial es limitado. El botón de encendido arregla algo en ese caso, mantenga los programas dentro de su caja de arena (per se). Contraseñas seguras. No puedo decir lo suficiente. Desde el punto de vista de SA, es su defensa de primera línea. Mi regla de oro, no te enfrentes a 9 personajes, usa especiales y mayúsculas + minúsculas + números también. Suena difícil verdad. Es fácil. Ejemplo ... 'H2O = O18 + o16 = agua' Uso quimiometría para algunas contraseñas interesantes. H2O es agua, pero O18 y O16 son isótopos de oxígeno diferentes, pero al final, hay agua, por lo tanto "H2O = O18 + o16 = agua". Contraseña fuerte. Ve con ella. Una queja común es recordarlo. Así que llame a esa computadora / servidor / terminal 'Waterboy'. Puede ayudar.

¿Estoy nerding?!?!

usuario161464
fuente
0

puede instalar y ejecutar ClamAV (centro de software) y buscar software malicioso en su computadora. Si tiene instalado Wine: purgue mediante Synaptic (eliminación completa) y vuelva a instalarlo si es necesario.

Para el registro: hay muy pocos software malicioso para Linux (¡no lo mezcle con un pasado con Windows!), Por lo que la posibilidad de que su sistema se vea comprometido es casi zip. Un buen consejo es: elija una contraseña segura para su raíz (puede cambiarla fácilmente si nessecary).

No se preocupe por Ubuntu y el software malicioso; mantenerse dentro de las líneas del centro de software / no instalar PPA aleatorios / no instalar paquetes .deb que no tengan garantías ni antecedentes certificados; Al hacerlo, su sistema permanecerá limpio sin problemas.

También es recomendable eliminar cada vez que cierre su navegador Firefox (o Chromium) para eliminar todas las cookies y limpiar su historial; Esto se configura fácilmente en las preferencias.

Joris Donders
fuente
0

Cuando ejecutaba servidores públicos, los instalaba en un entorno no conectado en red y luego instalaba Tripwire en ellos ( http://sourceforge.net/projects/tripwire/ ).

Tripwire básicamente verificó todos los archivos en el sistema y generó informes. Puede excluir los que dice que pueden cambiar (como archivos de registro) o que no le interesan (archivos de correo, ubicaciones de caché del navegador, etc.).

Fue mucho trabajo revisar los informes y configurarlo, pero fue bueno saber que si un archivo cambiaba y no instalabas una actualización para cambiarlo, sabías que había algo que necesitaba ser investigado. En realidad, nunca necesité todo esto, pero me alegro de que lo hayamos ejecutado junto con el software de firewall y los escaneos regulares de puertos de la red.

Durante los últimos 10 años más o menos, solo he tenido que mantener mi máquina personal, y sin que nadie más tenga acceso físico o cuentas en la caja, y sin servicios públicos (o muchas razones para dirigir mi máquina específicamente) Soy un un poco más laxo, así que no he usado Tripwire en años ... pero puede ser algo que esté buscando para generar informes de cambios en los archivos.

usuario173411
fuente
0

Lo mejor que puede hacer en su escenario es el formato semanal o más corto. Instale un programa como spideroak para sincronizar sus datos de forma segura. De esa manera, después de formatear todo lo que tiene que hacer es descargar spideroak y todos sus datos vuelven. Solía ​​ser más fácil con ubuntuone pero ahora se ha ido :(

por cierto: spideroak solo garantiza cero conocimiento si nunca accedes a tus archivos en su sitio a través de una sesión web. debe usar solo su cliente de software para acceder a los datos y cambiar su contraseña.

kris
fuente