web-dev-qa-db-fra.com

Où puis-je rechercher les logiciels malveillants éventuellement installés sur ma machine?

Je veux analyser ma boîte Ubuntu pour détecter si elle a été piratée. Ma question est la suivante: quels sont tous les endroits où chercher pour savoir si certains logiciels malveillants sont lancés? Voici une sorte de liste brute:

  1. les membres
  2. image du noyau (j'ai md5)
  3. / sbin/init (j'ai md5)
  4. Modules de noyau dans/etc/modules
  5. tous les scripts de services dans /etc/init.d et/etc/init (j'ai md5)
  6. /etc/rc.local
  7. gnome autorun

et ?

Ma question est totalement honnête et non malveillante. C'est seulement pour détecter si ma boîte a été compromise.

bootsecuritymalware
23
Luigi

L'objectif du malware est de faire quelque chose. Il faudra donc qu'il communique avec le monde extérieur. La meilleure approche consiste donc à examiner le trafic réseau qui se produit sur votre ordinateur.

J'aime l'utilitaire dnstop. Installer par Sudo apt-get install dnstop

Puis lancez l’utilitaire sur votre carte réseau

Sudo dnstop -l 3 eth0

Lorsque l'utilitaire s'exécute, appuyez sur la touche 3. L'écran affichera toutes les demandes DNS effectuées par votre ordinateur.

Dans mon cas, je suis allé à Ubuntu et il a essayé d'accéder à ce qui suit

Query Name               Count      %   cum%
-------------------- --------- ------ ------
www.gravatar.com             2   40.0   40.0
askubuntu.com                2   40.0   80.0
ny.stackexchange.com         1   20.0  100.0

Cela me donne une idée de quels sites Web ont été consultés. Ce que vous devez faire est de ne rien faire et de vous asseoir et d'attendre un moment pour voir à quoi votre ordinateur a accès. Faites ensuite un suivi laborieux sur tous les sites Web auxquels il accède.

Il existe de nombreux outils que vous pouvez utiliser. J’ai pensé que c’était un outil facile à essayer.

25
Meer Borg

Vous ne pouvez jamais savoir si votre PC est déjà infecté ou non. Vous pourrez peut-être le savoir en écoutant le trafic provenant de votre ordinateur. Vous trouverez ci-dessous quelque chose que vous pouvez faire pour vous assurer que votre système fonctionne correctement. Gardez à l'esprit que rien n'est à 100%.

  • Assurez-vous que vous n'activez pas le compte root
  • Assurez-vous de disposer des dernières mises à jour de sécurité dès leur publication.
  • N'installez pas de logiciel dont vous savez que vous n'utiliserez que très rarement
  • Assurez-vous que votre système a des mots de passe forts
  • Désactivez tous les services ou processus inutiles
  • Installez un bon matériel audiovisuel (si vous traitez beaucoup avec Windows, ou peut-être un courrier électronique pouvant contenir un virus Windows).

En ce qui concerne savoir si vous avez été piraté; vous obtiendrez des annonces contextuelles, des redirections vers des sites que vous n'aviez pas l'intention de visiter, etc.

Je dois dire que /sys/boot/etc entre autres sont considérés comme importants.

Les logiciels malveillants Linux peuvent également être détectés à l'aide d'outils d'investigation judiciaire, tels que Volatility ou Volatility

Aussi, vous voudrez peut-être regarder Pourquoi ai-je besoin d'un logiciel anti-virus? . Si vous souhaitez installer un logiciel anti-virus, je vous recommande d'installer ClamAV

6
Mitch

Vous pouvez également essayer rkhunter, qui analyse votre ordinateur à la recherche de nombreux rootkits et chevaux de Troie courants.

3
Cyril Laury

Il est évident pour vous (pour l’intérêt des autres que je le mentionne) que si vous exécutez votre système en tant que VM, votre potentiel de risque est limité. Le bouton d’alimentation corrige le problème dans ce cas, conservez les programmes dans leur sandbox (en soi). Mots de passe forts. Je ne peux pas le dire assez. D'un point de vue SA, il s'agit de votre défense de première ligne. Ma règle d'or, n'allez pas au-delà de 9 caractères, utilisez les Spéciaux, et les majuscules, les minuscules et les chiffres également. Cela semble difficile, non? C'est facile. Exemple ... 'H2O = O18 + o16 = eau' J'utilise la chimie pour certains mots de passe intéressants. H2O est de l’eau, mais les O18 et O16 sont des isotopes différents de l’oxygène, mais au final, il en résulte de l’eau, donc "H2O = O18 + o16 = eau". . SO appelez cet ordinateur/serveur/terminal 'Waterboy' Cela peut aider.

Suis-je en train de filer?!?!

1
user161464

Il existe des distributions spécialisées comme BackTrack qui contiennent un logiciel pour analyser des situations comme la vôtre. En raison de la nature hautement spécialisée de ces outils, une courbe d'apprentissage assez raide leur est généralement associée. Mais alors, si cela vous concerne vraiment, le temps est bien dépensé.

1
hmayag

La meilleure chose à faire dans votre scénario est le formatage hebdomadaire ou plus court. Installez un programme tel que spideroak pour synchroniser vos données en toute sécurité. Ainsi, après le reformatage, tout ce que vous avez à faire est de télécharger Spideroak et toutes vos données reviennent. Auparavant, c'était plus facile avec Ubuntuone, mais c'est parti maintenant :(

au fait: spideroak ne garantit aucune connaissance si vous n'accédez jamais à vos fichiers sur leur site via une session Web. vous devez utiliser uniquement leur logiciel client pour accéder aux données et modifier votre mot de passe.

0
kris

À l'époque où j'exécutais des serveurs publics, je les installais dans un environnement sans réseau, puis j'installais Tripwire sur eux ( http://sourceforge.net/projects/tripwire/ ).

Tripwire a essentiellement vérifié tous les fichiers du système et généré des rapports. Vous pouvez exclure ceux que vous dites autorisés à changer (comme les fichiers journaux) ou ceux qui ne vous intéressent pas (fichiers courrier, emplacements du cache du navigateur, etc.).

Il fallait beaucoup de travail pour parcourir les rapports et les préparer, mais il était agréable de savoir que si un fichier était modifié, et que vous n'installez pas de mise à jour pour le changer, vous saviez qu'il fallait enquêter sur quelque chose. En réalité, je n’ai jamais eu besoin de tout cela, mais je suis content que nous l’ayons utilisé avec un logiciel de pare-feu et des analyses régulières des ports du réseau.

Depuis environ 10 ans, je n'ai plus qu'à entretenir ma machine personnelle, et personne d'autre n'ayant d'accès physique ou de comptes sur la boîte, et aucun service public (ou beaucoup de raisons de cibler ma machine spécifiquement), je suis un Je n’ai donc pas utilisé Tripwire depuis des années, mais c’est peut-être quelque chose que vous recherchez pour générer des rapports sur les modifications de fichiers.

0
user173411

vous pouvez installer et exécuter ClamAV (softwarecenter) et rechercher les logiciels malveillants sur votre ordinateur. Si Wine est installé: purgez-le via Synaptic (élimination complète), puis réinstallez-le si nessecary.

Pour mémoire: il existe très peu de logiciels malveillants pour Linux (ne le mélangez pas avec un passé avec Windows !!), de sorte que la probabilité que votre système soit compromis est presque équivalente à Zip. Un bon conseil est le suivant: choisissez un mot de passe fort pour votre racine (vous pouvez facilement le changer si vous le souhaitez).

Ne soyez pas paranoïaque à propos d’Ubuntu et des logiciels malveillants; rester dans les limites du softwarecenter/ne pas installer de PPA aléatoires/ne pas installer de paquetages .deb sans garantie ni arrière-plans certifiés; Ce faisant, votre système restera propre sans hâte.

Il est également conseillé de supprimer chaque fois que vous fermez votre navigateur Firefox (ou Chromium) afin de supprimer tous les cookies et de nettoyer votre historique. Ceci est facilement défini dans les préférences.

0
Joris Donders