Où puis-je rechercher les logiciels malveillants qui ont pu être installés sur ma machine?

23

Je veux analyser ma boîte Ubuntu pour détecter si elle a été piratée. Ma question est: quels sont tous les endroits où chercher pour découvrir si certains logiciels malveillants sont démarrés? Voici une sorte de liste brute:

  1. mbr
  2. image du noyau (j'ai md5)
  3. / sbin / init (j'ai md5)
  4. Modules du noyau dans / etc / modules
  5. tous les scripts de services dans /etc/init.d et / etc / init (j'ai md5)
  6. /etc/rc.local
  7. gnome autorun

et ?

Ma question est totalement honnête et non malveillante. C'est seulement pour détecter si ma box a été compromise.

Luigi
la source

Réponses:

25

L'objectif des logiciels malveillants est de faire quelque chose. Il lui faudra donc communiquer avec le monde extérieur. La meilleure approche consiste donc à examiner le trafic réseau qui se produit sur votre ordinateur.

J'aime l'utilitaire dnstop. Installer parsudo apt-get install dnstop

Exécutez ensuite l'utilitaire sur votre carte réseau

sudo dnstop -l 3 eth0

Lorsque l'utilitaire s'exécute, appuyez sur la touche 3, cela changera l'écran pour afficher toutes les demandes DNS effectuées par votre ordinateur.

Dans mon cas, je suis allé à Ubuntu et il a essayé d'accéder aux éléments suivants

Query Name               Count      %   cum%
-------------------- --------- ------ ------
www.gravatar.com             2   40.0   40.0
askubuntu.com                2   40.0   80.0
ny.stackexchange.com         1   20.0  100.0

Cela me donne une idée des sites Web consultés. Ce que vous devez faire est de ne rien faire et de vous asseoir et d'attendre un moment pour voir à quoi accède votre ordinateur. Suivez ensuite laborieusement tous les sites Web auxquels il accède.

Il existe de nombreux outils que vous pourriez utiliser, je pensais que c'était un outil facile à essayer.

Meer Borg
la source
euhmm je pense que le rootkit le plus stupide se cache et cache son trafic.
Luigi
@Luigi comme je l'ai dit, il existe de nombreux outils pour l'analyse médico-légale. Si. vous êtes tellement inquiet d'utiliser Wireshark et de regarder le trafic sur votre segment de réseau qui est assez impossible à simuler car vous travaillez au niveau matériel. Si vous êtes plus paranoïaque, vous pouvez exécuter Wireshark sur un ordinateur propre sur votre segment.
Meer Borg
ok, mais je pense que la meilleure façon est d'analyser le système hors ligne par livecd. Je pense que c'est plus facile car un malware intelligent ne peut envoyer des informations à l'extérieur que s'il y a d'autres flux de données, ou pourrait envoyer des informations sur un canal secret.
Luigi
@Luigi et comment établir lequel des milliers de programmes a été compromis? Exécuter des hachages md5 contre un système propre et le comparer à votre système? La meilleure option est d'essuyer l'ordinateur, mbr, voire de jeter le disque dur? Bios? Beaucoup de vecteurs d'attaque. C'est un travail difficile et vous semblez bien informé. Mais qu'est-ce qui vous fait croire que vous avez été infecté par ce "virus" super furtif?
Meer Borg
1
La plupart des distributions Linux ont presque tous les md5 des fichiers contenus dans les paquets. Par exemple, dans Ubuntu, il y a des débits. Il est donc assez facile de faire une grosse vérification du système complet. Mais bien sûr certains fichiers ne sont pas hachés .. par exemple le mbr. Mais l'image du noyau et tous les modules ont leur md5 (et sha1 ou sha256 pour éviter la collision md5), et la même chose pour / sbin / init. Je dois juste vérifier seulement les trucs qui ne sont pas hachés mais je dois connaître de manière très approfondie le processus de démarrage.
Luigi
6

Vous ne pouvez jamais savoir si votre PC est déjà infecté ou non. Vous pourrez peut-être le dire en écoutant le trafic provenant de votre ordinateur. Vous trouverez ci-dessous quelque chose que vous pouvez faire pour vous assurer que votre système fonctionne correctement. Gardez à l'esprit que rien n'est à 100%.

  • Assurez-vous de ne pas activer le compte root
  • Assurez-vous que vous disposez des dernières mises à jour de sécurité dès leur sortie
  • N'installez pas de logiciel que vous savez que vous n'utiliserez presque jamais
  • Assurez-vous que votre système a des mots de passe forts
  • Désactivez tous les services ou processus qui ne sont pas nécessaires
  • Installez un bon AV (si vous traitez beaucoup avec Windows, ou peut-être un e-mail qui peut contenir un virus Windows.)

Pour savoir si vous avez été piraté; vous obtiendrez des annonces pop-up, des redirections vers des sites que vous n'aviez pas l'intention de visiter, etc.

Je dois dire que, /sys /boot /etcentre autres, ils sont considérés comme importants.

Les logiciels malveillants Linux peuvent également être détectés à l'aide d'outils de criminalistique de la mémoire, tels que la volatilité ou la volatilité

Vous pouvez également consulter Pourquoi ai-je besoin d'un logiciel antivirus? . Si vous souhaitez installer un logiciel antivirus, je vous recommande d'installer ClamAV

Mitch
la source
3

Vous pouvez également essayer de rkhunterscanner votre PC pour trouver de nombreux rootkits et chevaux de Troie courants.

Cyril Laury
la source
rkhunter ne détecte que le rootkit connu, en outre il est très facile de prendre n'importe quel rootkit public et de changer la source le rendant indétectable de rkhunter ..
Luigi
1

Il existe des distributions spécialisées comme BackTrack qui contiennent des logiciels pour analyser des situations comme la vôtre. En raison de la nature hautement spécialisée de ces outils, une courbe d'apprentissage assez abrupte leur est généralement associée. Mais si cela vous préoccupe vraiment, c'est du temps bien dépensé.

hmayag
la source
Je connais backtrack, mais il n'y a aucun logiciel qui fasse ce genre de vérification automatiquement.
Luigi
@Luigi Si c'était aussi simple que ça, je serais un analyste en sécurité informatique / criminalistique avec un salaire à six chiffres ...
hmayag
1

Il est évident pour vous (pour le bien des autres, je le mentionnerai) si vous utilisez votre système en tant que machine virtuelle, votre risque potentiel est limité. Le bouton d'alimentation corrige quelque chose dans ce cas, conservez les programmes dans leur bac à sable (en soi). Mots de passe forts. Je ne peux pas le dire assez. D'un point de vue SA, c'est votre défense de première ligne. Ma règle de base, n'allez pas au-delà de 9 caractères, utilisez également les spéciaux et les majuscules + minuscules + chiffres. Cela semble dur à droite. C'est facile. Exemple ... 'H2O = O18 + o16 = eau'J'utilise la chimie pour certains mots de passe intéressants. H2O est de l'eau, mais O18 et O16 sont des isotopes différents de l'oxygène, mais en fin de compte, il y a de l'eau, donc "H2O = O18 + o16 = eau". Mot de passe fort. Allez-y. Appelez donc cet ordinateur / serveur / terminal «Waterboy». Cela peut vous aider.

Suis-je nerveux?!?!

user161464
la source
0

vous pouvez installer et exécuter ClamAV (softwarecenter) et rechercher les logiciels malveillants sur votre ordinateur. Si vous avez installé Wine: purgez-le via Synaptic (suppression complète) et effectuez une réinstallation si nécessaire.

Pour mémoire: il y a très peu de logiciels malveillants pour Linux (ne le mélangez pas avec un passé avec Windows !!), donc la chance que votre système soit compromis est presque zippée. Un bon conseil est: choisissez un mot de passe fort pour votre racine (vous pouvez facilement le changer si nécessaire).

Ne partez pas paranoïaque à propos d'Ubuntu et des logiciels malveillants; restez dans les lignes du softwarecenter / n'installez pas de PPA aléatoires / n'installez pas de packages .deb sans garantie ni arrière-plan certifié; ce faisant, votre système restera propre sans tracas.

Il est également conseillé de supprimer chaque fois que vous fermez votre navigateur Firefox (ou Chromium) pour avoir supprimé tous les cookies et nettoyer votre historique; cela se règle facilement dans les préférences.

Joris Donders
la source
0

À l'époque où je dirigeais des serveurs publics, je les installais dans un environnement non en réseau, puis j'installais Tripwire sur eux ( http://sourceforge.net/projects/tripwire/ ).

Tripwire a essentiellement vérifié tous les fichiers du système et généré des rapports. Vous pouvez exclure ceux que vous dites autorisés à modifier (comme les fichiers journaux) ou qui ne vous intéressent pas (fichiers courrier, emplacements de cache du navigateur, etc.).

Il y avait beaucoup de travail à parcourir les rapports et à le configurer, mais c'était bien de savoir que si un fichier changeait, et que vous n'aviez pas installé de mise à jour pour le changer, vous saviez qu'il y avait quelque chose à étudier. Je n'ai jamais vraiment eu besoin de tout cela, mais je suis heureux que nous l'ayons exécuté avec un logiciel de pare-feu et des analyses de port régulières du réseau.

Au cours des 10 dernières années, je n'ai eu qu'à entretenir ma machine personnelle, et personne d'autre n'ayant un accès physique ou des comptes sur la boîte, et aucun service public (ou beaucoup de raisons de cibler spécifiquement ma machine) un peu plus laxiste donc je n'ai pas utilisé Tripwire depuis des années ... mais c'est peut-être quelque chose que vous recherchez pour générer des rapports de modifications de fichiers.

user173411
la source
0

La meilleure chose à faire dans votre scénario est un format hebdomadaire ou plus court. Installez un programme comme spideroak pour synchroniser vos données en toute sécurité. De cette façon, après avoir reformaté, tout ce que vous avez à faire est de télécharger spideroak et toutes vos données reviennent. Auparavant, c'était plus facile avec ubuntuone, mais c'est parti maintenant :(

btw: spideroak ne garantit aucune connaissance que si vous n'accédez jamais à vos fichiers sur leur site via une session web. vous devez utiliser uniquement leur logiciel client pour accéder aux données et modifier votre mot de passe.

kris
la source