rileva virus o spyware sotto Linux

2

Sospetto di essere il bersaglio di hacker molto esperti.

5 o 6 anni fa ho trovato spyware sul mio server web Linux, è stato lkm mascherato come modulo ppp_deflate con l'hash md5 dirottato. Intendo con lo stesso hash MD5 del ppp_deflate originale. Tutto è iniziato perché 2 siti erano offline ma non lo erano.

Avevo il sospetto che l'unico modo per essere infettati da quello spyware fosse connettersi a una rete p2p. Poi ho formattato un nuovo PC, aggiornato, MD5 di tutti i file e l'ho collegato alla rete emule. Dopo pochi minuti è stato infettato in modo totalmente invisibile. Nessun crash / dump del kernel, nessun arresto emule, nessuna traccia di intrusione. Inoltre, in fase di esecuzione l'hash MD5 di tutti i file era OK, ogni file corrisponde al suo hash originale. Ma dal live cd il modulo ppp_deflate aveva un md5 diverso dal suo originale.

Poi ho fatto l'ultimo test. Ho formattato nuovamente e confrontato l'md5 di ppp_deflate originale e il ppp_deflate infetto. Ed erano diversi. Dopo quello che ho fatto:

# rmmod ppp_deflate

e quindi carico quello infetto

# modprobe ppp_deflate

.. ora l'hash del modulo infetto era lo stesso dell'originale !!! Sono andato alla polizia con il mio problema ... ma il poliziotto ha detto che il mio PC Windows era probabilmente configurato male ...

5 o 6 anni fa avevo sospettato che il mio box fosse stato violato perché ho trovato uno strano ragazzo su irc e altri forum di chat che conoscevano alcune delle mie informazioni personali. In questi mesi accadevano le stesse strane cose ..

Non voglio usare gli strumenti antirootkit perché so che non funzionano.

Quindi la mia domanda è: Dove devo cercare sulla mia macchina Linux per trovare uno spyware? Le mie idee sono:

  1. firmware (efi, nic, vga, masterizzatore di cd / dvd, ecc.) (molto difficile)
  2. MBR e bootsector (boot kit ..) (forse)
  3. kernel staticamente compilato (improbabile)
  4. lkm (forse)
  5. initrd (forse)
  6. binari (init, core bin, ecc.) (troppo stupidi)
  7. librerie (libc e così via) (troppo stupide)
  8. processo limitato avviato automaticamente da gnome (facile)
  9. estensioni firefox o chrome (facile)

La mia distro è l'ultima Ubuntu con l'ultimo kernel 3.0 ..) Mi dispiace ... l'ultima cosa .. Non voglio risolvere il mio problema con un altro formato ancora .. Voglio trovare se c'è un problema. Quindi voglio avere la lista di controllo più completa per trovare il malware.

Non ho nessun servizio in esecuzione, inoltre ho 2 firewall: uno sul mio pc e uno sul mio router. Le password sono state cambiate.

Grazie mille per la tua risposta [s].

    
posta user45 14.04.2012 - 18:04
fonte

3 risposte

3

Diagnosis. Prima di tutto, non sono convinto che tu sia mai stato infettato. Non hai fornito alcuna prova che sei stato infettato. (Si prega di comprendere che l'MD5 dei file di sistema può cambiare regolarmente per ragioni benigne, ad esempio perché il sistema ha effettuato un aggiornamento automatico del software e si è ottenuta una nuova versione del kernel.) Una modifica dell'MD5 di un file di sistema non significa necessariamente che si sta infetti.

Una cosa che ho visto in questo business è che le persone a volte si preoccupano, e se vedono qualcosa di strano che non capiscono, lo attribuiscono a un virus oa un hacker. Questo è comprensibile, ma non necessariamente razionale. I computer sono incredibilmente complicati e, a meno che tu non sia un esperto di computer, dovresti aspettarti che facciano cose che non capisci sempre.

Quindi potresti avere ragione che il tuo computer era infetto. Ma tieni anche a mente aperta: tieni presente la possibilità che forse il tuo computer non sia mai stato infettato e forse stai interpretando male le cose che vedi.

Ripristino. Se la tua macchina è infetta o compromessa, c'è solo un modo sicuro per rispondere: devi "nuotare dall'orbita". In altre parole, disconnettersi dalla rete, riformattare il disco rigido, reinstallare il sistema operativo da una fonte nota, impostare nuove password (non riutilizzare quelle vecchie), abilitare il firewall del sistema, riconnettersi alla rete e immediatamente fare un aggiornamento software per ottenere l'ultima versione di tutto il software di sistema, modificare le password online, reinstallare tutto il software da una fonte nota, ecc.

Non esiste una checklist completa per trovare malware. So che hai detto che non vuoi fare una riformattazione, e sono simpatizzante, ma è davvero l'unica opzione che rimuoverà in modo affidabile un'infezione. Scusate. So che fa schifo.

    
risposta data 14.04.2012 - 20:48
fonte
3

Bene, hai fatto un errore molto comune. Una volta che un sistema è stato compromesso, dovrebbe reinstallare il sistema e ripristinarlo dai backup. Non ci si può più fidare. Modifica anche ogni singola password.

Se sono abbastanza esperti per modificare il tuo binario MD5sum, probabilmente saranno abbastanza esperti da installare un rootkit o simili.

  • Qualcosa di vulnerabile, probabilmente vulnerabile (qualcosa su internet hai scritto te stesso, ecc.)?
  • Hai riutilizzato qualsiasi password?
  • Ci sono servizi in esecuzione?
  • Qualcun altro ha accesso fisico
  • Vai su siti oscuri e scarica software crackato / speciale / homebrew?
risposta data 14.04.2012 - 18:11
fonte
2

Ho visto alcuni inspiegabili prima simili a questo. Si scopre che la persona con cui è stato incasinato è stata molestata da un ex dipendente del suo ISP, quindi il ragazzo (ex-dipendente) si sarebbe imbustato con i clienti precedenti poiché sapevano come gestire l'infrastruttura di rete e la maggior parte delle copianti non assumono il calibro del dipendente che renderebbe il sistema più solido.

Soluzione: cambia il tuo router con qualcosa che supporti DD-WRT o vai a livello aziendale / aziendale e il problema dovrebbe andare via e, naturalmente, generare le tue password. E non impostare un DMZ a meno che non si voglia raccogliere prove su un honeypot.

Se hai ancora "problemi inspiegabili", puoi acquistare o costruire un rubinetto LAN per meno di $ 20 e metterlo tra il router e il modem e annusare il traffico tra cavi e ricercare ciò che accade sulla rete.

Per curiosità chi è il tuo ISP e fanno qualsiasi filtraggio, reinstradamento o modellazione IP?

    
risposta data 17.04.2012 - 01:01
fonte

Leggi altre domande sui tag