Я хочу проаналізувати свою скриньку ubuntu, щоб виявити, чи вона була зламана. Моє запитання: що там, де шукати, щоб дізнатися, чи запускається якесь шкідливе програмне забезпечення? Нижче наведено якийсь необроблений список:
і?
Моє запитання абсолютно чесне і не злісне. Виявити, чи було порушено моє вікно.
Відповіді:
Завдання зловмисного програмного забезпечення - щось зробити. Тож знадобиться спілкуватися із зовнішнім світом. Тож найкращим підходом є перегляд мережевого трафіку, який відбувається на вашому комп’ютері.
Мені подобається утиліта dnstop. Встановитиsudo apt-get install dnstop
Потім запустіть утиліту проти вашої мережевої карти
sudo dnstop -l 3 eth0
Після запуску утиліти натисніть клавішу 3, це змінить екран, щоб відобразити всі запити dns, які зроблені вашим комп'ютером.
У моєму випадку я перейшов до Ubuntu, і він намагався отримати доступ до наступного
Query Name Count % cum%
-------------------- --------- ------ ------
www.gravatar.com 2 40.0 40.0
askubuntu.com 2 40.0 80.0
ny.stackexchange.com 1 20.0 100.0
Це дає мені уявлення про те, які веб-сайти мали доступ. Те, що вам потрібно зробити, - нічого не робити, сісти назад і почекати деякий час, щоб побачити, що ваш комп'ютер має доступ. Потім наполегливо слідкуйте за всіма веб-сайтами, до яких можна отримати доступ.
Ви можете скористатися багатьма інструментами, я подумав, що це вам легко спробувати.
Ви ніколи не можете дізнатися, чи ваш ПК вже заражений чи ні. Ви можете дізнатися про це, прослуховуючи трафік, який надходить з вашого комп’ютера. Нижче наведено щось, що ви можете зробити для того, щоб ваша система була в порядку. Майте на увазі, що нічого не є на 100%.
Що стосується з'ясування того, чи вас зламали; ви отримаєте спливаючі оголошення, переспрямування на сайти, які ви не збиралися відвідувати тощо.
Мені б сказати, що /sys /boot /etcсеред інших вважаються важливими.
Зловмисне програмне забезпечення Linux також може бути виявлено за допомогою інструментів криміналістики пам'яті, таких як Volatility або Volatility
Також ви можете поглянути на те, для чого мені потрібно антивірусне програмне забезпечення? . Якщо ви хочете встановити антивірусне програмне забезпечення, я рекомендую вам встановити ClamAV
Ви також можете спробувати rkhunterсканувати ваш ПК на багато поширених руткітів і троянських коней.
Існують спеціалізовані дистрибутиви на кшталт BackTrack, які містять програмне забезпечення для аналізу таких ситуацій, як ваша. Через вузькоспеціалізовану природу цих інструментів, як правило, існує досить крута крива навчання, пов'язана з ними. Але тоді, якщо це по-справжньому турбує вас, це час добре витрачений.
Для вас це очевидно (для інших я це згадаю), якщо ваша система працює як ВМ, то потенціал ризику обмежений. Кнопка живлення виправляє річ у такому випадку, зберігайте програми всередині їх пісочної скриньки (per ~ se). Сильні паролі. Неможливо сказати це досить. З точки зору SA, це ваша перша лінія захисту. Моє правило, не майте 9 символів, використовуйте "Спеціальні" та "Верхній + нижній регістр" + "Цифри" також. Це правильно звучить. Це легко. Приклад ... 'H2O = O18 + o16 = вода' Я використовую хеметрію для деяких паролів, що перериваються. H2O - це вода, але O18 і O16 - це різні ізотопи кисню, але, зрештою, результат - вода, тому "H2O = O18 + o16 = вода". ТАК зателефонуйте цьому комп'ютеру / серверу / терміналу "Waterboy", це може допомогти.
Невже я нервую?!?!
ви можете встановити та запустити ClamAV (softwarecenter) та перевірити наявність шкідливого програмного забезпечення на своєму комп’ютері. Якщо у вас встановлено Wine: очистіть його за допомогою Synaptic (повне видалення) та зробіть перевстановлення, якщо це несекретно.
Для завершення: шкідливого програмного забезпечення для Linux дуже мало (не змішуйте його з минулим з Windows !!), тому шанс, що ваша система буде порушений, майже не збігається. Хороша порада: виберіть надійний пароль для свого кореня (ви можете легко змінити його, якщо це несезарій).
Не забувайте параноїзувати про Ubuntu та шкідливе програмне забезпечення; залишайтеся в межах програмного центру / не встановлюйте випадкові PPA / не встановлюйте .deb-пакети, які не мають жодних гарантій та сертифікованого фону; при цьому ваша система залишатиметься чистою без суєти.
Також бажано видаляти кожен раз, коли ви закриваєте браузер Firefox (або Chromium), щоб видалити всі файли cookie та очистити свою історію; це легко встановлюється в налаштуваннях.
Коли я запускав загальнодоступні сервери, я встановлював би їх у немережевому середовищі, а потім встановлював на них Tripwire ( http://sourceforge.net/projects/tripwire/ ).
Tripwire в основному перевіряв усі файли в системі та створював звіти. Ви можете виключити ті, які, на вашу думку, дозволено змінювати (наприклад, файли журналів) або які вас не цікавлять (файли пошти, місця кеш-пам’яті браузера тощо).
Було багато роботи над переглядом звітів та їх налаштуванням, але було приємно знати, що якщо файл змінився, і ви не встановили оновлення, щоб його змінити, ви знали, що потрібно щось дослідити. Я ніколи насправді не потребував усього цього, але я радий, що ми працювали з програмою брандмауера та регулярними скануваннями портів мережі.
Останні 10 років або близько того мені потрібно було лише підтримувати свою персональну машину, і ніхто більше не мав фізичного доступу чи акаунтів на коробці, і жодних публічних служб (або багато причин націлювати свою машину конкретно) я трохи більше розслабленого, тому я не користувався Tripwire роками ... але це може бути щось, що ви шукаєте, щоб генерувати звіти про зміни файлів.
Найкраще в сценарії робити щотижневий або коротший формат. Встановіть таку програму, як spideroak, щоб безпечно синхронізувати ваші дані. Таким чином після переформатування все, що вам потрібно зробити, це завантажити spideroak, і всі ваші дані повернуться. З ubuntuone було простіше, але цього вже немає :(
btw: spideroak гарантує лише нульові знання, якщо ви ніколи не отримуєте доступ до своїх файлів на їхньому веб-сайті через веб-сеанс. для доступу до даних та зміни пароля потрібно використовувати лише їх програмний клієнт.