Où puis-je rechercher les logiciels malveillants éventuellement installés sur ma machine?

23

Je souhaite analyser ma boîte d’ubuntu pour détecter si elle a été piratée. Ma question est la suivante: quels sont les endroits où chercher pour savoir si des logiciels malveillants sont lancés? Voici une sorte de liste brute:

  1. mbr
  2. image du noyau (j'ai md5)
  3. / sbin / init (j'ai md5)
  4. Modules du noyau dans / etc / modules
  5. tout le script de services dans /etc/init.d et / etc / init (j'ai md5)
  6. /etc/rc.local
  7. gnome autorun

et?

Ma question est totalement honnête et non malveillante. C'est seulement pour détecter si ma boîte a été compromise.

    
posée Luigi 23.05.2013 - 10:33
la source

8 réponses

24

L’objectif du malware est de faire quelque chose. Il faudra donc communiquer avec le monde extérieur. La meilleure approche consiste donc à examiner le trafic réseau sur votre ordinateur.

J'aime l’utilitaire dnstop. Installer par sudo apt-get install dnstop

Ensuite, exécutez l'utilitaire sur votre carte réseau

sudo dnstop -l 3 eth0

Lorsque l'utilitaire s'exécute, appuyez sur la touche 3, cela changera l'écran pour afficher toutes les requêtes DNS effectuées par votre ordinateur.

Dans mon cas, je suis allé à Ubuntu et il a essayé d'accéder aux éléments suivants

Query Name               Count      %   cum%
-------------------- --------- ------ ------
www.gravatar.com             2   40.0   40.0
askubuntu.com                2   40.0   80.0
ny.stackexchange.com         1   20.0  100.0

Cela me donne une idée des sites Web auxquels on a accédé. Ce que vous devez faire est de ne rien faire et de rester assis et d'attendre un moment pour voir ce que votre ordinateur accède. Ensuite, suivez laborieusement tous les sites Web auxquels vous accédez.

Il existe de nombreux outils que vous pouvez utiliser, je pensais que c'était facile à essayer.

    
réponse donnée Meer Borg 23.05.2013 - 11:18
la source
6

Vous ne pouvez jamais savoir si votre PC est déjà infecté ou non. Vous pourrez peut-être le savoir en écoutant le trafic provenant de votre ordinateur. Vous trouverez ci-dessous quelque chose que vous pouvez faire pour vous assurer que votre système fonctionne correctement. Gardez à l'esprit que rien n'est à 100%.

  • Assurez-vous de ne pas activer le compte root
  • Assurez-vous d'avoir les dernières mises à jour de sécurité dès qu'elles sortez
  • N'installez pas de logiciel que vous savez que vous utiliserez à peine ou que vous n'utiliserez jamais
  • Assurez-vous que votre système dispose de mots de passe forts
  • Désactivez tous les services ou processus inutiles
  • Installez un bon AV (si vous utilisez beaucoup Windows, ou peut-être un courrier électronique contenant un virus Windows.)

Pour ce qui est de savoir si vous avez été piraté; vous obtiendrez des annonces pop-up, redirigera vers des sites que vous n'aviez pas l'intention de visiter, etc.

Je dois dire que /sys /boot /etc parmi d'autres sont considérés comme importants.

Les logiciels malveillants Linux peuvent également être détectés à l'aide d'outils d'analyse de la mémoire, tels que Volatility ou Volatility

Vous pouvez également consulter Pourquoi ai-je besoin d’un logiciel anti-virus? . Si vous souhaitez installer un logiciel antivirus, je vous recommande d’installer ClamAV

    
réponse donnée Mitch 23.05.2013 - 11:12
la source
3

Vous pouvez également essayer rkhunter qui analyse votre PC pour un grand nombre de rootkits et de chevaux de Troie courants.

    
réponse donnée Cyril Laury 23.05.2013 - 11:54
la source
1

Il existe des distributions spécialisées comme BackTrack qui contiennent des logiciels pour analyser des situations comme la vôtre. En raison de la nature hautement spécialisée de ces outils, une courbe d'apprentissage assez abrupte leur est généralement associée. Mais si c'est vraiment une préoccupation pour vous, c'est du temps bien dépensé.

    
réponse donnée hmayag 23.05.2013 - 11:17
la source
1

Cela est évident pour vous (pour les autres, je le mentionnerai) si vous exploitez votre système en tant que VM, votre risque potentiel est limité. Dans ce cas, le bouton d’alimentation résout le problème. Conservez les programmes dans leur bac à sable (per ~ s). Mots de passe forts Je ne peux pas le dire assez. D'un point de vue SA, c'est votre défense de première ligne. Ma règle de base, n'allez pas plus haut 9 charaters, utilisez Specials, et Upper + Lower + Numbers aussi. Ca a l'air difficile. C'est facile. Exemple ... 'H2O = O18 + o16 = eau' J'utilise la chimie pour certains mots de passe intéressants. H2O est de l'eau, mais les O18 et O16 sont des isotopes différents de l'oxygène, mais en fin de compte, il en résulte de l'eau, donc "H2O = O18 + o16 = eau". La plainte commune s'en souvient. Alors, appelez cet ordinateur / serveur / terminal 'Waterboy' Cela peut aider.

Suis-je nerveux?!?!

    
réponse donnée user161464 24.05.2013 - 17:23
la source
0

vous pouvez installer et exécuter ClamAV (softwarecenter) et rechercher les logiciels malveillants sur votre ordinateur. Si vous avez installé Wine: purgez-le via Synaptic (suppression complète) et réinstallez-le si nécessaire.

Pour la petite histoire: il y a très peu de logiciels malveillants pour Linux (ne le mélangez pas avec un passé avec Windows !!), donc le risque que votre système soit compromis est presque zip. Un bon conseil est: choisissez un mot de passe fort pour votre racine (vous pouvez facilement changer cela si nécessaire).

Ne pardonnez pas à Ubuntu et aux logiciels malveillants; rester dans les lignes du centre de logiciels / ne pas installer au hasard les PPA / ne pas installer les paquets .deb sans garantie ni arrière-plans certifiés; Ce faisant, votre système restera propre sans hâte.

Il est également conseillé de supprimer chaque fois que vous fermez votre navigateur Firefox (ou Chrome) pour avoir tous les cookies supprimés et nettoyer votre historique; Ceci est facilement défini dans les préférences.

    
réponse donnée Joris Donders 23.05.2013 - 11:12
la source
0

À l'époque où j'exécutais des serveurs publics, je les installais dans un environnement non réseau, puis j'installais Tripwire dessus ( lien ).

Tripwire vérifiait essentiellement tous les fichiers du système et générait des rapports. Vous pouvez exclure ceux que vous dites pouvoir modifier (comme les fichiers journaux) ou que vous ne vous souciez pas (fichiers courrier, emplacements du cache du navigateur, etc.).

C'était beaucoup de travail pour parcourir les rapports et les configurer, mais c'était agréable de savoir que si un fichier changeait et que vous n'aviez pas installé de mise à jour pour le changer, vous saviez qu'il fallait être étudié. Je n'ai jamais vraiment eu besoin de tout cela, mais je suis content que nous l'ayons utilisé avec un logiciel de pare-feu et des analyses de port régulières du réseau.

Depuis une dizaine d’années, je n’ai eu qu’à maintenir ma machine personnelle, et personne n’ayant d’accès physique ou de comptes sur la boîte, et pas de services publics (ou beaucoup de raisons de cibler ma machine spécifiquement). suis un peu plus laxiste donc je n'ai pas utilisé Tripwire depuis des années ... mais c'est peut-être quelque chose que vous recherchez pour générer des rapports sur les modifications de fichiers.

    
réponse donnée user173411 08.07.2013 - 04:13
la source
0

La meilleure chose à faire dans votre scénario est le format hebdomadaire ou plus court. Installez un programme tel que spideroak pour synchroniser vos données en toute sécurité. Ainsi, après le reformatage, tout ce que vous avez à faire est de télécharger spideroak et toutes vos données reviennent. C'était plus facile avec Ubuntuone mais ça a disparu maintenant: (

btw: spideroak ne garantit aucune connaissance si vous n’accédez jamais à vos fichiers sur leur site via une session Web. vous devez utiliser uniquement leur logiciel client pour accéder aux données et modifier votre mot de passe.

    
réponse donnée kris 27.07.2014 - 06:06
la source

Lire d'autres questions sur les étiquettes