我想分析我的 ubuntu 机器以检测它是否被黑客入侵。我的问题是:在哪些地方可以查看是否启动了某些恶意软件?以下是一些原始列表:
- 磁盘驱动器
- 内核映像(我有 md5)
- /sbin/init (我有 md5)
- /etc/modules 中的内核模块
- /etc/init.d 和 /etc/init 中的所有服务脚本(我有 md5)
- /etc/rc.local
- gnome 自动运行
和 ?
我的问题完全是诚实的,没有恶意。只是为了检测我的盒子是否被破解了。
答案1
恶意软件的目的是要做一些事情。因此它需要与外界沟通。因此最好的方法是查看计算机上发生的网络流量。
我喜欢 dnstop 实用程序。安装sudo apt-get install dnstop
然后针对你的网卡运行该实用程序
sudo dnstop -l 3 eth0
当实用程序运行时按 3 键,这将改变屏幕以显示您的计算机发出的所有 DNS 请求。
在我的情况下,我去了 Ubuntu,它尝试访问以下内容
Query Name Count % cum%
-------------------- --------- ------ ------
www.gravatar.com 2 40.0 40.0
askubuntu.com 2 40.0 80.0
ny.stackexchange.com 1 20.0 100.0
这样我就能知道访问了哪些网站。你需要做的就是什么也不做,坐下来等一会儿,看看你的电脑访问了什么。然后费力地跟踪它访问的所有网站。
您可以使用很多工具,我认为这个工具很容易尝试。
答案2
您永远无法知道您的 PC 是否已被感染。您可以通过监听来自计算机的流量来判断。以下是您可以采取的一些措施来确保您的系统正常。请记住,没有什么是 100% 可靠的。
- 确保没有启用 root 账户
- 确保在最新的安全更新发布后立即安装
- 不要安装那些你知道自己很少或永远不会使用的软件
- 确保你的系统有强密码
- 关闭不需要的任何服务或进程
- 安装一个好的 AV(如果您经常使用 Windows,或者可能包含基于 Windows 的病毒的电子邮件。)
至于是否被黑客入侵,您会收到弹出式广告、重定向到您不想访问的网站等。
我必须说,/sys /boot /etc其中有些被认为是重要的。
Linux 恶意软件也可以使用内存取证工具来检测,例如挥发性或者挥发性
你可能还想看看为什么我需要防病毒软件?。如果你想安装防病毒软件,我建议你安装ClamAV
答案3
您还可以尝试rkhunter扫描您的电脑以查找许多常见的 rootkit 和特洛伊木马。
答案4
对你来说很明显(为了其他人的缘故,我会提到它)如果你将你的系统作为虚拟机运行,那么你的潜在风险是有限的。电源按钮可以解决这个问题,在这种情况下,将程序保持在沙盒中(本身)。强密码。再怎么强调也不为过。从 SA 的角度来看,这是你的第一道防线。我的经验法则是,不要迷恋 9 个字符,使用特殊字符,以及大写+小写+数字。听起来很难,对吧。其实很简单。例如...'H2O=O18+o16=water'我使用化学方法设置了一些有趣的密码。H2O 是水,但 O18 和 O16 是不同的氧同位素,但最终结果是水,因此“H2O=O18+o16=water”......强密码。使用它......常见的抱怨是记住它。所以把那台电脑/服务器/终端称为“Waterboy”可能会有帮助。
我是不是太书呆子了?!??