web-dev-qa-db-ja.com

マシンにインストールされている可能性のあるマルウェアはどこで確認できますか?

私のubuntuボックスを分析して、ハッキングされたかどうかを検出したいのです。私の質問は次のとおりです。悪意のあるソフトウェアが開始されているかどうかを確認するために調べるべき場所はどこですか以下は、ある種の生のリストです。

  1. mbr
  2. カーネルイメージ(md5があります)
  3. / sbin/init(md5があります)
  4. / etc/modules内のカーネルモジュール
  5. /etc/init.dおよび/ etc/initのすべてのサービススクリプト(md5があります)
  6. /etc/rc.local
  7. ノーム自動実行

そして?

私の質問は完全に正直で、悪意はありません。私の箱が侵害されたかどうかを検出するだけです。

bootsecuritymalware
23
Luigi

マルウェアの目的は、何かをすることです。そのため、外の世界と通信する必要があります。したがって、最善のアプローチは、コンピューターで発生しているネットワークトラフィックを調べることです。

Dnstopユーティリティが好きです。 Sudo apt-get install dnstopでインストール

次に、ネットワークカードに対してユーティリティを実行します

Sudo dnstop -l 3 eth0

ユーティリティを実行するときに3キーを押すと、画面が変更され、コンピューターによって行われたすべてのDNS要求が表示されます。

私の場合、Ubuntuに行き、以下にアクセスしようとしました

Query Name               Count      %   cum%
-------------------- --------- ------ ------
www.gravatar.com             2   40.0   40.0
askubuntu.com                2   40.0   80.0
ny.stackexchange.com         1   20.0  100.0

これにより、どのWebサイトがアクセスされたかがわかります。あなたがする必要があるのは、何もせずに座って、コンピュータがアクセスするものを見るためにしばらく待つことです。次に、アクセスするすべてのWebサイトを面倒にフォローアップします。

使用できるツールは多数ありますが、試してみるのは簡単だと思いました。

25
Meer Borg

PCがすでに感染しているかどうかはわかりません。お使いのコンピューターからのトラフィックを聞くことで判断できる場合があります。以下は、システムに問題がないことを確認するためにできることです。 100%ではないことに注意してください。

  • ルートアカウントを有効にしないでください
  • 最新のセキュリティ更新プログラムがリリースされたらすぐに入手してください
  • ほとんど使用しない、またはまったく使用しないことがわかっているソフトウェアをインストールしないでください
  • システムに強力なパスワードがあることを確認してください
  • 不要なサービスやプロセスをオフにします
  • 適切なAVをインストールします(Windowsを頻繁に処理する場合、またはWindowsベースのウイルスが含まれている可能性のあるメールの場合)。

あなたがハッキングされているかどうかを調べる限り。ポップアップ広告が表示されたり、アクセスする予定のないサイトにリダイレクトされたりします。

とりわけ、/sys/boot/etcは重要と見なされると言わざるを得ません。

Linuxマルウェアは、 Volatility または Volatility などのメモリフォレンジックツールを使用して検出することもできます

また、 なぜウイルス対策ソフトウェアが必要なのですか? をご覧ください。ウイルス対策ソフトウェアをインストールする場合は、 ClamAV をインストールすることをお勧めします

6
Mitch

rkhunterを試すこともできます。これは、多くの一般的なルートキットやトロイの木馬についてPCをスキャンします。

3
Cyril Laury

システムをVMとして実行している場合、リスクの可能性が制限されていることは明らかです(他の人のために説明します)。その場合、電源ボタンで問題を修正します。プログラムをサンドボックス内に保持します(毎回)。強力なパスワード。カントはそれを十分に言います。 SAの観点から見ると、これは最初の防衛線です。私の経験則では、9人のキャラクターを愛してはいけません、スペシャルを使用し、大文字+小文字+数字も使用します。難しいですね。それは簡単です。例...「H2O = O18 + o16 = water」私はいくつかの興味深いパスワードにケメストリーを使用しています。 H2Oは水ですが、O18とO16は異なる酸素同位体ですが、最終的には水が存在するため、そこに「H2O = O18 + o16 =水」があります。強力な剣。それと一緒に行きます。 。SOそのコンピューター/サーバー/端末を呼び出す 'Waterboy'役立つかもしれません。

私はオタクですか?!?!

1
user161464

あなたのような状況を分析するソフトウェアを含むBackTrackのような特殊なディストリビューションがあります。これらのツールは高度に特殊化されているため、通常は非常に急な学習曲線が関連付けられています。しかし、もしこれが本当にあなたにとっての懸念であれば、それは十分に費やされた時間です。

1
hmayag

シナリオで行うのに最適なのは、毎週またはそれより短い形式です。 spideroakなどのプログラムをインストールして、データを安全に同期します。再フォーマット後、必要なのはspideroakをダウンロードするだけで、すべてのデータが返されます。以前はubuntuoneの方が簡単でしたが、今ではなくなっています:(

btw:spideroakは、Webセッションを介してサイト上のファイルにアクセスしない場合にのみゼロ知識を保証します。データへのアクセスとパスワードの変更には、ソフトウェアクライアントのみを使用する必要があります。

0
kris

パブリックサーバーを実行したときに、ネットワークに接続されていない環境にインストールしてから、Tripwireをインストールします( http://sourceforge.net/projects/tripwire/ )。

Tripwireは基本的にシステム上のすべてのファイルをチェックし、レポートを生成しました。変更が許可されている(ログファイルなど)または気にしない(メールファイル、ブラウザキャッシュの場所など)を除外できます。

レポートを調べて設定するのは大変な作業でしたが、ファイルが変更され、それを変更するための更新プログラムをインストールしなかった場合、調査する必要があることがわかっていることを知ってうれしかったです。これは実際には必要ありませんでしたが、ファイアウォールソフトウェアおよびネットワークの定期的なポートスキャンと一緒に実行できたことをうれしく思います。

過去10年ほどの間、私は自分の個人用マシンを保守するだけで、他の誰も箱に物理的なアクセスやアカウントを持たず、公共サービスもありませんでした(または私のマシンを特にターゲットにする多くの理由)もう少し緩いので、私は何年もTripwireを使用していません...しかし、ファイル変更のレポートを生成するためにあなたが探しているものかもしれません。

0
user173411

clamAV(softwarecenter)をインストールして実行し、コンピューターに悪意のあるソフトウェアがないか確認できます。 Wineがインストールされている場合:Synaptic(完全な削除)を介してパージし、必要に応じて再インストールします。

記録のために:Linux用の悪意のあるソフトウェアはほとんどありません(Windowsで過去と混ぜないでください!!)ので、システムが危険にさらされる可能性はほとんどZipです。良いアドバイスは、ルートに強力なパスワードを選択することです(必要に応じて簡単に変更できます)。

Ubuntuや悪意のあるソフトウェアについては妄想しないでください。 softwarecenterの行内にとどまる/ランダムなPPAをインストールしない/保証も認定された背景もない.debパッケージをインストールしないでください。そうすることで、システムは手間をかけずにクリーンなままになります。

また、すべてのCookieを削除して履歴をクリーンアップするため、Firefoxブラウザー(またはChromium)を閉じるたびに削除することをお勧めします。これは設定で簡単に設定できます。

0
Joris Donders