আমি আমার মেশিনে ইনস্টল করা ম্যালওয়্যারটি কোথায় খুঁজে পাব?


23

আমি আমার উবুন্টু বাক্সটি হ্যাক হয়েছে কিনা তা সনাক্ত করতে বিশ্লেষণ করতে চাই। আমার প্রশ্ন হ'ল: কিছু দূষিত সফ্টওয়্যার চালু হলে আবিষ্কারের জন্য এমন সমস্ত জায়গা কোথায়? নীচে কিছু ধরণের কাঁচা তালিকা দেওয়া হল:

  1. MBR
  2. কার্নেল চিত্র (আমার এমডি 5 আছে)
  3. / এসবিিন / আরআর (আমার এমডি 5 আছে)
  4. / ইত্যাদি / মডিউলগুলিতে কার্নেল মডিউল
  5. /etc/init.d এবং / ইত্যাদি / initে সমস্ত পরিষেবাদি স্ক্রিপ্ট (আমার এমডি 5 আছে)
  6. /etc/rc.local
  7. জিনোম অটোরুন

এবং ?

আমার প্রশ্নটি সম্পূর্ণ সৎ এবং দূষিত নয়। এটি কেবলমাত্র আমার বাক্সে আপস করা হয়েছে কিনা তা সনাক্ত করার জন্য।

উত্তর:


25

ম্যালওয়ারের উদ্দেশ্য হ'ল কিছু করা। সুতরাং এটি বাইরের বিশ্বের সাথে যোগাযোগ করা প্রয়োজন হবে। সুতরাং আপনার কম্পিউটারে সংঘটিত নেটওয়ার্ক ট্র্যাফিকের দিকে নজর রাখা সবচেয়ে ভাল পদ্ধতির।

আমি ডিএনস্টপ ইউটিলিটি পছন্দ করি। দ্বারা ইনস্টল করুনsudo apt-get install dnstop

তারপরে আপনার নেটওয়ার্ক কার্ডের বিরুদ্ধে ইউটিলিটি চালান run

sudo dnstop -l 3 eth0

যখন ইউটিলিটিটি 3 টি টিপুন টিপুন, এটি আপনার কম্পিউটারে তৈরি সমস্ত ডিএনএস অনুরোধগুলি প্রদর্শনের জন্য পর্দা পরিবর্তন করবে।

আমার ক্ষেত্রে আমি উবুন্টু গিয়েছিলাম এবং এটি নিম্নলিখিতগুলি অ্যাক্সেস করার চেষ্টা করেছিল

Query Name               Count      %   cum%
-------------------- --------- ------ ------
www.gravatar.com             2   40.0   40.0
askubuntu.com                2   40.0   80.0
ny.stackexchange.com         1   20.0  100.0

এটি আমাকে কোন ওয়েবসাইটগুলি অ্যাক্সেস করা হয়েছিল তার একটি ধারণা দেয়। আপনার যা করা দরকার তা হ'ল কিছু না করা এবং পিছনে বসে আপনার কম্পিউটারটি কী অ্যাক্সেস করে তা দেখার জন্য কিছুক্ষণ অপেক্ষা করুন। তারপরে অ্যাক্সেস করে এমন সমস্ত ওয়েবসাইটগুলিতে কঠোরভাবে অনুসরণ করুন।

আপনি ব্যবহার করতে পারেন এমন অনেকগুলি সরঞ্জাম রয়েছে, আমি ভেবেছিলাম এটি চেষ্টা করা আপনার পক্ষে সহজ।


uhmm আমি মনে করি যে সবচেয়ে বোকা রুটকিট নিজেকে এবং এর ট্র্যাফিককে আড়াল করে।
লুইজি

@ লুইগি যেমন আমি বলেছিলাম, ফরেনসিক বিশ্লেষণের জন্য প্রচুর সরঞ্জাম রয়েছে। করে। আপনি উদ্বিগ্ন যে ওয়্যারশার্ক ব্যবহার করেন এবং আপনার নেটওয়ার্ক বিভাগের ট্র্যাফিকটি দেখুন যা আপনি হার্ডওয়ার স্তরে কাজ করছেন বলে জাল করা অসম্ভব। আপনি যদি বেশি ভৌতিক হয়ে থাকেন তবে আপনি আপনার বিভাগে একটি পরিষ্কার কম্পিউটারে ওয়্যারশার্ক চালাতে পারেন।
মীর বোর্গ

ঠিক আছে, তবে আমি মনে করি যে লাইভসিডি দ্বারা অফলাইন সিস্টেমটি বিশ্লেষণ করা সবচেয়ে ভাল উপায়। আমি মনে করি এটি আরও সহজ কারণ একটি চালাক ম্যালওয়্যার কেবল তখনই তথ্যের বাইরে প্রেরণ করতে পারে অন্যথায় ডেটা প্রবাহ থাকে বা কোনও গোপন চ্যানেলে তথ্য প্রেরণ করতে পারে।
লুইজি

@ লুইগি এবং আপনি কীভাবে প্রতিষ্ঠা করতে পারেন যে হাজার হাজার প্রোগ্রামের মধ্যে একটির মধ্যে আপস করা হয়েছে? একটি পরিষ্কার সিস্টেমের বিরুদ্ধে এমডি 5 হ্যাশ চালানো এবং এটি আপনার সিস্টেমের সাথে তুলনা করে? সর্বোত্তম বিকল্পটি হ'ল কম্পিউটার, এমবিআর মুছা, এমনকি হার্ড ডিস্কটি ফেলে দেওয়া? বায়োস? আক্রমণ ভেক্টর প্রচুর। এটি একটি কঠিন কাজ, এবং আপনি ভাল অবহিত বলে মনে হচ্ছে। তবে আপনাকে কী বিশ্বাস করতে পরিচালিত করে যে আপনি এই সুপার স্টিলথ "ভাইরাস" দ্বারা আক্রান্ত হয়েছেন?
মীর বার্গ

1
বেশিরভাগ লিনাক্স ডিস্ট্রোতে প্যাকেজগুলিতে থাকা ফাইলগুলির প্রায় সমস্ত এমডি 5 থাকে। উদাহরণস্বরূপ উবুন্টুতে ডিবসাম রয়েছে। সুতরাং এটি সম্পূর্ণ সহজ সিস্টেমের একটি বড় চেক করা সহজ। তবে অবশ্যই কিছু ফাইল হ্যাশ করা হয়নি .. উদাহরণস্বরূপ এমবিআর। তবে কার্নেল ইমেজ এবং সমস্ত মডিউলগুলির এমডি 5 রয়েছে (এবং এমডি 5 সংঘর্ষ এড়াতে sha1 বা sha256), এবং / sbin / initের ক্ষেত্রে একই। আমার কেবল হ্যাশ না হওয়া জিনিসগুলি পরীক্ষা করতে হবে তবে বুট প্রক্রিয়াটি গভীরভাবে জানতে হবে।
লুইজি

6

আপনার পিসি ইতিমধ্যে সংক্রামিত কিনা তা আপনি কখনই জানতে পারবেন না। আপনার কম্পিউটার থেকে আসা ট্র্যাফিক শুনে আপনি বলতে সক্ষম হবেন। নীচে আপনার সিস্টেমটি ঠিক আছে তা নিশ্চিত করতে আপনি কিছু করতে পারেন। মনে রাখবেন যে কোনও কিছুই 100% নয়।

  • আপনি রুট অ্যাকাউন্ট সক্ষম না করে তা নিশ্চিত করুন
  • নিশ্চিত হয়ে নিন যে আপনার কাছে সর্বশেষতম সুরক্ষা আপডেটগুলি প্রকাশের সাথে সাথেই আসবে
  • আপনি যে হার্ডওয়ারটি কখনও ব্যবহার করবেন না তা কখনও জানেন না এমন সফ্টওয়্যার ইনস্টল করবেন না
  • আপনার সিস্টেমে শক্তিশালী পাসওয়ার্ড রয়েছে তা নিশ্চিত করুন
  • প্রয়োজন নেই এমন কোনও পরিষেবা বা প্রক্রিয়া বন্ধ করুন
  • একটি ভাল এভি ইনস্টল করুন (যদি আপনি উইন্ডোজের সাথে প্রচুর পরিমাণে কাজ করছেন, বা একটি ইমেল যা উইন্ডোজ ভিত্তিক ভাইরাস থাকতে পারে))

আপনাকে হ্যাক করা হয়েছে কিনা তা খুঁজে বের করা; আপনি পপ-আপ বিজ্ঞাপনগুলি পাবেন, যে সাইটগুলিতে আপনাকে দেখার ইচ্ছা নেই, পুনর্নির্দেশ করা হবে ইত্যাদি

আমি এটা বলতে হবে /sys /boot /etc অন্যদের মধ্যে গুরুত্বপূর্ণ বিবেচনা করা হয়।

লিনাক্স ম্যালওয়্যার মেমোরি ফরেনসিক সরঞ্জামগুলি যেমন ভোলাটিলিটি বা ব্যবহার করেও সনাক্ত করা যায় অস্থিরতা

এছাড়াও আপনি দেখতে চাইতে পারেন কেন আমার অ্যান্টি-ভাইরাস সফ্টওয়্যার দরকার? । আপনি যদি অ্যান্টি-ভাইরাস সফটওয়্যার ইনস্টল করতে চান তবে আমি আপনাকে সুপারিশ করব যে আপনি ক্ল্যামএভি ইনস্টল করুন


3

আপনি rkhunterযা চেষ্টা করতে পারেন যা প্রচুর সাধারণ রুটকিট এবং ট্রোজান ঘোড়াগুলির জন্য আপনার পিসি স্ক্যান করে।


আরখুন্টার কেবল পরিচিত রুটকিট সনাক্ত করে, তেমনি কোনও পাবলিক রুটকিট গ্রহণ করা এবং উত্সটি পরিবর্তন করা একে rkhunter থেকে অন্বেষণযোগ্য করে তোলা খুব সহজ ..
লুইগি

1

ব্যাকট্র্যাকের মতো বিশেষ বিতরণ রয়েছে যাতে আপনার মতো পরিস্থিতি বিশ্লেষণ করার জন্য সফ্টওয়্যার রয়েছে contain এই সরঞ্জামগুলির উচ্চতর বিশেষায়িত প্রকৃতির কারণে সাধারণত তাদের সাথে যুক্ত বেশ খাড়া শেখার বক্ররেখা থাকে। তবে যদি এটি সত্যই আপনার জন্য উদ্বেগজনক হয় তবে সময়টি ভালভাবে ব্যয় করা উচিত।


আমি ব্যাকট্র্যাক জানি, কিন্তু এমন কোনও সফ্টওয়্যার নেই যা স্বয়ংক্রিয়ভাবে এ জাতীয় চেক তৈরি করে।
লুইজি

@ লুইগি যদি এটি সহজ হয় তবে আমি একজন আইটি সুরক্ষা / ছয় অঙ্কের বেতন সহ ফরেনসিক বিশ্লেষক হয়ে
উঠতাম

1

এটি আপনার কাছে স্পষ্ট (অন্যের জন্য আমি এটি উল্লেখ করব) যদি আপনি আপনার সিস্টেমকে ভিএম হিসাবে চালনা করেন তবে আপনার ঝুঁকিপূর্ণ সাম্রাজ্য সীমাবদ্ধ। পাওয়ার বোতামটি সেক্ষেত্রে জিনিসটিকে ঠিক করে দেয়, প্রোগ্রামগুলি তাদের স্যান্ডবক্সের ভিতরে রাখুন (প্রতি সেঃ)। শক্তিশালী পাসওয়ার্ড। এটা যথেষ্ট বলতে পারেন। এসএ ভিউ পয়েন্ট থেকে এটি আপনার প্রথম লাইন প্রতিরক্ষা। আমার আঙ্গুলের নিয়ম, 9 টি চ্যাটারে বেলোভে যান না, বিশেষ এবং উচ্চ + নিম্নতর + সংখ্যাগুলিও ব্যবহার করুন। এটা শক্ত মনে হয়। এটি সহজ. উদাহরণ ... 'H2O = O18 + o16 = জল'আমি কিছু ইন্টারস্টরিং পাসওয়ার্ডের জন্য রসায়ন ব্যবহার করি। এইচ 2 ও জল, তবে ও 18 এবং ও 16 হ'ল পৃথক অক্সিজেন আইসোটোপস, তবে শেষ পর্যন্ত জল রয়েছে, সেখানে "H2O = O18 + o16 = জল 'রয়েছে .. শক্তিশালী পাঠ্যক্রম withএটি নিয়ে যান .. সাধারণ অভিযোগটি এটি মনে রাখছে । SO যে কম্পিউটার / সার্ভার / টার্মিনাল 'ওয়াটারবয়' কল এটি সাহায্য করতে পারে।

আমি কি বাইরে বেরিয়ে আছি?!?!


0

আপনি ক্ল্যামাভি (সফ্টওয়্যারসেন্টার) ইনস্টল ও চালনা করতে এবং আপনার কম্পিউটারে দূষিত সফ্টওয়্যার পরীক্ষা করতে পারেন। আপনার যদি ওয়াইন ইনস্টল করা উচিত: সাইনাপটিক (সম্পূর্ণ অপসারণ) এর মাধ্যমে এটিকে শুদ্ধ করুন, এবং নেসেসেকারি হলে পুনরায় ইনস্টল করুন।

রেকর্ডের জন্য: লিনাক্সের জন্য খুব কম দূষিত সফ্টওয়্যার রয়েছে (এটি উইন্ডোজের সাথে অতীতের সাথে মিশ্রিত করবেন না), সুতরাং আপনার সিস্টেমের সাথে আপোস হওয়ার সুযোগটি প্রায় জিপ। একটি ভাল পরামর্শ হ'ল: আপনার মূলের জন্য একটি শক্তিশালী পাসওয়ার্ড বেছে নেওয়া হয়েছে (আপনি সহজেই এটি পরিবর্তন করতে পারেন যদি নেসেসেকারি হয়)।

উবুন্টু এবং দূষিত সফ্টওয়্যার সম্পর্কে প্যারানডে যাবেন না; সফ্টওয়্যারসেন্টারের লাইনে থাকুন / এলোমেলো পিপিএ ইনস্টল করবেন না / .deb-প্যাকেজগুলি ইনস্টল করবেন না যার কোনও গ্যারান্টি নেই বা শংসাপত্রপ্রাপ্ত ব্যাকগ্রাউন্ড নেই; এটি করার ফলে আপনার সিস্টেমটি হিট ছাড়াই পরিষ্কার থাকবে।

সমস্ত কুকি মুছে ফেলার জন্য এবং আপনার ইতিহাস সাফ করার জন্য আপনি যখনই ফায়ারফক্স-ব্রাউজারটি (বা ক্রোমিয়াম) বন্ধ করেন তখন অপসারণের পরামর্শ দেওয়া হয়; এটি সহজে পছন্দগুলিতে সেট করা হয়।


0

ফিরে যখন আমি সর্বজনীন সার্ভারগুলি চালাতাম, আমি এগুলিকে একটি নন-নেটওয়ার্ক পরিবেশে ইনস্টল করব এবং তারপরে তাদের উপর ট্রিপওয়ায়ার ইনস্টল করব ( http://sourceforge.net/projects/tripwire/ )।

ট্রিপওয়ায়ার মূলত সিস্টেমে সমস্ত ফাইল পরীক্ষা করে রিপোর্ট তৈরি করে। আপনি যেগুলি বলেন সেগুলি বাদ দিতে পারে (যেমন লগ ফাইলগুলি) বা আপনি (মেইল ফাইল, ব্রাউজার ক্যাশে অবস্থানগুলি, ইত্যাদি) যত্নশীল হন না।

এটি প্রতিবেদনের মধ্য দিয়ে যাওয়া এবং সেট আপ করা অনেক কাজ ছিল তবে এটি জেনে ভাল লাগছিল যে কোনও ফাইল যদি পরিবর্তিত হয় এবং আপনি এটি পরিবর্তন করতে কোনও আপডেট ইনস্টল করেন না, আপনি জানতেন যে তদন্তের প্রয়োজন এমন কিছু জিনিস রয়েছে। আমার আসলে এগুলিগুলির কখনই প্রয়োজন ছিল না তবে আমি আনন্দিত যে আমরা ফায়ারওয়াল সফ্টওয়্যার এবং নেটওয়ার্কের নিয়মিত পোর্ট স্ক্যান সহ এটি চালিয়েছি।

গত দশ বছর বা তার বেশি সময় ধরে আমাকে কেবল আমার ব্যক্তিগত মেশিনটি বজায় রাখতে হয়েছিল, এবং বাক্সে শারীরিক অ্যাক্সেস বা অ্যাকাউন্টে অন্য কারও সাথে নেই, এবং কোনও সরকারী পরিষেবা নেই (বা আমার মেশিনকে বিশেষভাবে টার্গেট করার অনেক বেশি কারণ) আমি একজন আরও কিছুটা শিথিল, তাই আমি বছরগুলিতে ট্রিপওয়ায়ার ব্যবহার করি নি ... তবে এটি ফাইলের পরিবর্তনের রিপোর্ট উত্পন্ন করার জন্য আপনি যা খুঁজছেন তা হতে পারে।


0

আপনার দৃশ্যে সবচেয়ে ভাল কাজটি হ'ল ফর্ম্যাটটি সাপ্তাহিক বা সংক্ষিপ্ত। আপনার ডেটা সুরক্ষিতভাবে সিঙ্ক করতে স্পাইডারোকের মতো একটি প্রোগ্রাম ইনস্টল করুন। পুনরায় ফর্ম্যাট করার পরে আপনাকে যা করতে হবে তা হ'ল স্পাইডারোইক ডাউনলোড করা এবং আপনার সমস্ত ডেটা ফিরে আসে। উবুনটুনের সাথে এটি আরও সহজ হতে পারত তবে এখন চলে গেছে :(

বিটিডাব্লু: স্পাইডারোক শুধুমাত্র শূন্য জ্ঞানের গ্যারান্টি দেয় যদি আপনি কোনও ওয়েব সেশনের মাধ্যমে যদি কখনও তাদের ফাইলগুলিতে তাদের ফাইলগুলিতে অ্যাক্সেস না করেন। আপনাকে ডেটা অ্যাক্সেস করতে এবং আপনার পাসওয়ার্ড পরিবর্তন করতে কেবল তাদের সফ্টওয়্যার ক্লায়েন্ট ব্যবহার করতে হবে।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.