Sospetto di essere il bersaglio di hacker molto esperti.
5 o 6 anni fa ho trovato spyware sul mio server web Linux, è stato lkm mascherato come modulo ppp_deflate con l'hash md5 dirottato. Intendo con lo stesso hash MD5 del ppp_deflate originale. Tutto è iniziato perché 2 siti erano offline ma non lo erano.
Avevo il sospetto che l'unico modo per essere infettati da quello spyware fosse connettersi a una rete p2p. Poi ho formattato un nuovo PC, aggiornato, MD5 di tutti i file e l'ho collegato alla rete emule. Dopo pochi minuti è stato infettato in modo totalmente invisibile. Nessun crash / dump del kernel, nessun arresto emule, nessuna traccia di intrusione. Inoltre, in fase di esecuzione l'hash MD5 di tutti i file era OK, ogni file corrisponde al suo hash originale. Ma dal live cd il modulo ppp_deflate aveva un md5 diverso dal suo originale.
Poi ho fatto l'ultimo test. Ho formattato nuovamente e confrontato l'md5 di ppp_deflate originale e il ppp_deflate infetto. Ed erano diversi. Dopo quello che ho fatto:
# rmmod ppp_deflate
e quindi carico quello infetto
# modprobe ppp_deflate
.. ora l'hash del modulo infetto era lo stesso dell'originale !!! Sono andato alla polizia con il mio problema ... ma il poliziotto ha detto che il mio PC Windows era probabilmente configurato male ...
5 o 6 anni fa avevo sospettato che il mio box fosse stato violato perché ho trovato uno strano ragazzo su irc e altri forum di chat che conoscevano alcune delle mie informazioni personali. In questi mesi accadevano le stesse strane cose ..
Non voglio usare gli strumenti antirootkit perché so che non funzionano.
Quindi la mia domanda è: Dove devo cercare sulla mia macchina Linux per trovare uno spyware? Le mie idee sono:
- firmware (efi, nic, vga, masterizzatore di cd / dvd, ecc.) (molto difficile)
- MBR e bootsector (boot kit ..) (forse)
- kernel staticamente compilato (improbabile)
- lkm (forse)
- initrd (forse)
- binari (init, core bin, ecc.) (troppo stupidi)
- librerie (libc e così via) (troppo stupide)
- processo limitato avviato automaticamente da gnome (facile)
- estensioni firefox o chrome (facile)
La mia distro è l'ultima Ubuntu con l'ultimo kernel 3.0 ..) Mi dispiace ... l'ultima cosa .. Non voglio risolvere il mio problema con un altro formato ancora .. Voglio trovare se c'è un problema. Quindi voglio avere la lista di controllo più completa per trovare il malware.
Non ho nessun servizio in esecuzione, inoltre ho 2 firewall: uno sul mio pc e uno sul mio router. Le password sono state cambiate.
Grazie mille per la tua risposta [s].