কীভাবে একটি লিনাক্স ট্রোজান সনাক্ত এবং মুছে ফেলা যায়?

16

আমি সম্প্রতি (পুনরায়) এতে হোঁচট খেয়েছি:

লিনাক্স ট্রোজান প্রায় এক বছরের জন্য লক্ষ্য করা যায় না (অবাস্তব আইআরসিডি)

হ্যাঁ, আমি জানি যে অবিশ্বস্ত উত্স থেকে কিছু এলোমেলো পিপিএ / সফ্টওয়্যার যুক্ত করা সমস্যার (বা আরও খারাপ) জিজ্ঞাসা করছে। আমি তা কখনই করি না, তবে অনেকেই করেন (অনেকগুলি লিনাক্স ব্লগ এবং ট্যাবলয়েডগুলি অভিনব অ্যাপ্লিকেশনগুলির জন্য পিপিএ যুক্ত করার প্রচার করে, এটি আপনার সিস্টেমটিকে ভেঙে দিতে পারে বা আরও খারাপ হতে পারে, এই সুরক্ষা ছাড়াই আপনার আপস করুন))

একটি ট্রোজান ঘোড়া বা একটি দুর্বৃত্ত অ্যাপ্লিকেশন / স্ক্রিপ্ট কীভাবে সনাক্ত এবং মুছে ফেলা যায়?

security malware

— iamsid
সূত্র

আমি একই প্রশ্নটি (এখানে জিজ্ঞাসার 3 মিনিটের পরে) এখানে জিজ্ঞাসা করেছি: Askubuntu.com / প্রশ্নগুলি / 13265/… এটি লঙ্ঘন কিনা তা আমাকে জানান, আমি তাদের একটি মুছব ।

— iamsid

2

ক্রসপোস্টিং সাধারণত স্ট্যাক এক্সচেঞ্জের কাছ থেকে নিরুৎসাহিত হয় , এমনকি এমন সাইটগুলির জন্যও যেখানে ওভারল্যাপিং ডোমেন রয়েছে তবে ইউনিক্স.এসই পক্ষের কোনও সরকারী নীতি নেই ।

— গিলস

20

কোনও সাধারণ রেসিপি নেই। যদি আপনার সিস্টেমটি কোনও অজানা ট্রোজান দ্বারা আক্রান্ত হয়েছে, আপনি যা করতে পারেন তা পুনরায় ইনস্টল করা।

যদি আপনি জানেন যে ট্রোজান একটি নির্দিষ্ট উপায়ে কাজ করে - উদাহরণস্বরূপ আপনি জানেন যে ট্রোজান কার্নেলকে সংক্রামিত করে না - পুনরুদ্ধারের খুব কম উপায় থাকতে পারে। তবে ট্রোজান কীভাবে আচরণ করে তা পুরোপুরি নির্ভর করে। আপনার সমস্ত কিছু যদি লক্ষণগুলি হয় (যেমন আপনার কম্পিউটারটি আপনার সম্মতি ছাড়াই স্প্যাম প্রেরণ করে) তবে কোনও সাধারণ কৌশল নেই: ট্রোজান ডিজিটাল (এবং ভাগ্যবান) এর চেয়ে ট্রোজান ডিটেক্টরকে আরও চৌকস হতে হবে। যতদূর ট্রোজান সম্পর্কিত, সনাক্তকরণ এবং গোপনীয়তা বন্দুক এবং আর্মার মতো: একটি প্রযুক্তিগত বৃদ্ধি রয়েছে এবং উভয় পক্ষেরই অভ্যন্তরীণ সুবিধা নেই (যদিও চতুষ্পদ্বয়দের মাথা শুরু হয়)।

অনেক সিস্টেমে জায়গায় একটি নিরাপদ বিতরণ চ্যানেল রয়েছে। উদাহরণস্বরূপ, আপনি যখন অপ্ট-ভিত্তিক সরঞ্জামগুলি (অ্যাপটি-গেট, অ্যাপটিটিউড, সিনপ্যাটিক, সফটওয়্যার সেন্টার,…) সহ উবুন্টু সংগ্রহস্থল থেকে একটি প্যাকেজ ইনস্টল করেন, তখন সরঞ্জামটি পরীক্ষা করে দেখায় যে উবুন্টু ট্রাস্টের দ্বারা প্যাকেজটি স্বাক্ষরিত (পরীক্ষা করা) রয়েছে। (বেশিরভাগ বিতরণে একই রকম প্রক্রিয়া থাকে similar) আপনি যখন পিপিএ থেকে কোনও প্যাকেজ ইনস্টল করেন, আপনি কেবলমাত্র এটিই জানতে পারবেন যে পিপিএ মালিক প্যাকেজটি পর্যবেক্ষণ করেছেন, যদি পিপিএ মালিককে প্রথম স্থানে বিশ্বাস করার কোনও কারণ না থাকে তবে এটি কোনও সহায়তা নয়।

ট্রোজান এবং ব্যাকডোর সম্পর্কে, আমি কেন টম্পসনের টুরিং অ্যাওয়ার্ড বক্তৃতা, ট্রাষ্টিংয়ের উপর ভরসা প্রতিচ্ছবি পড়ার দৃ strongly় পরামর্শ দিচ্ছি । সংক্ষেপে বলতে গেলে, তিনি সংকলকটি পরিবর্তন করেছিলেন যাতে লগইন প্রোগ্রামটি সংকলন করার সময় এটি এমন কোড যুক্ত করে যা তাকে একটি গোপন পাসওয়ার্ড দিয়ে লগ ইন করতে দেয়; তারপরে তিনি সংকলকটি পরিবর্তন করলেন যাতে এটি নিজেই সংকলন করলে, এটি পিছনের অংশটি যুক্ত করার জন্য কোডটি সন্নিবেশ করায়; তারপরে তিনি পুরো সিস্টেমটি পুনরায় সংকলন করলেন (বিশেষত লগইন প্রোগ্রাম এবং সংকলক); অবশেষে তিনি সংকলক উত্সটি মূল, প্রশ্নাতীত উত্সটিতে পুনরুদ্ধার করেছিলেন। আবার কেন থম্পসনের নিবন্ধটি পড়ুন ; তারপরে আপনি ডেভিড হুইলারের কাউন্টারপয়েন্টও পড়তে পারেন , সম্ভবত ব্রুস শ্নিয়ারের ব্লগ নিবন্ধের মাধ্যমে সবচেয়ে ভালভাবে ধরা পড়ে ।

— গিলস 'তাই খারাপ হওয়া বন্ধ করুন'
সূত্র

বর্ণনামূলক উত্তরের জন্য এবং এই নিবন্ধগুলির সুপারিশ করার জন্য +1: তারা আমার জ্ঞানকে প্রশস্ত করেছে। ধন্যবাদ.

— iamsid

7

আমি যদি এই নিবন্ধে বর্ণিত "ট্রোজান" সঠিকভাবে বুঝতে পারি তবে "স্বাভাবিক" উপায়ে "সাধারণ" ম্যালওয়্যার হিসাবে আবিষ্কার করা যায়নি। এই আইআরসিডি ব্যবহার না করা অবধি স্বাভাবিকভাবেই আচরণ করছিল, তাই প্রশাসক কেবল তখনই এই সুরক্ষা গর্তটি দেখতে পেতেন: 1) এটি ব্যবহৃত হয়েছিল এবং এই গর্ত দ্বারা করা কাজটি লগগুলিতে প্রবেশের কারণে বা অন্য কোনও উপায়ে দৃশ্যমান ছিল, ২) সোর্স কোড রিডিং করছিল।

"রিয়েল" লিনাক্স ম্যালওয়্যারগুলি লিনাক্স বা এভি লাইভসিডি রেসকিউ ডিস্কগুলির জন্য এভি সফ্টওয়্যার দ্বারা সনাক্ত করা উচিত, যাতে আপনি এই সফ্টওয়্যারটি ব্যবহার করে কম্পিউটার স্ক্যান করতে পারেন। আপনি যেমন সিকিউরিস্টে তালিকায় দেখতে পাচ্ছেন যে নামটিতে লিনাক্সের সাথে 1941 এন্ট্রি রয়েছে এবং সেই সফ্টওয়্যারটি ক্যাসপারস্কি সফ্টওয়্যার দ্বারা সনাক্ত করা উচিত। এই তালিকার তাত্ক্ষণিক নজরদারি থেকে বোঝা যায় যে অনেকগুলি এন্ট্রি কয়েকটি ডিডিওএস সরঞ্জাম এবং শোষণ বা সরঞ্জাম সম্পর্কে যা স্বয়ংক্রিয়ভাবে ছড়িয়ে যেতে পারে না এবং কেবল আক্রমণ করার সরঞ্জাম হিসাবে ব্যবহৃত হতে পারে (তাই ক্ষতিকারক নয়)।

ক্র্যাকারের দ্বারা ইনস্টল করা ব্যাকডোর / রুটকিটগুলির জন্য যাচাই করার জন্য আপনি ফাইলটি চেকসামগুলি পরীক্ষা করে এমন সরঞ্জাম ব্যবহার করতে পারেন (আপনার পরিষ্কার ফাইলের ফাইল এবং চেকসামের তালিকা তৈরি করা উচিত এবং সার্ভার সফ্টওয়্যার আপডেটের পরে এটি আপডেট করা উচিত)। ভুল চেকসাম সহ প্রতিটি নতুন ফাইল বা ফাইল সন্দেহজনক। এটি তৈরি করে এমন চেকসাম এবং সরঞ্জামের তালিকা কেবল পঠনযোগ্য মিডিয়ামে থাকা উচিত (ক্র্যাকার উদাহরণস্বরূপ md5sum এর নিজস্ব সংস্করণেও পরিবর্তিত হতে পারে যা ভুল চেকসাম দেখায়)। ম্যালওয়্যার সন্ধানের এই উপায়টি 'স্থিতিশীল' সিস্টেমে ব্যবহার করা যেতে পারে যেখানে প্রতিদিন সফ্টওয়্যার আপগ্রেড হয় না।

netstatনেটওয়ার্ক ট্র্যাফিকের জন্য যাচাই করার জন্য স্থানীয়ভাবে চালিয়ে কিছু ম্যালওয়্যার সনাক্ত করা যেতে পারে , তবে যদি সিস্টেমটি সংক্রামিত হয় তবে দেখানো ডেটাও netstatপরিবর্তন করা যেতে পারে। এক্ষেত্রে কিছু সমাধান হ'ল অন্য কম্পিউটার থেকে নেটওয়ার্ক ট্র্যাফিক নিরীক্ষণ করা (উদাহরণস্বরূপ রাউটার থেকে, ইন্টারনেটে কোন ট্র্যাফিক প্রেরণ করা হয় তা পরীক্ষা করে দেখুন)।

— PBM
সূত্র

4

ট্রোজান / রুটকিট এবং অন্যান্য সংক্রমণ প্রতিরোধের জন্য সেলইনাক্স এবং অ্যাপআর্মার উপস্থিত রয়েছে। আমি সেলিনাক্সের জন্য কেসটি বলি, যা আমি আরও ভাল জানি। সেলইনাক্স সক্ষম হয়ে আপনি মেশিনে ইনস্টল করা সমস্ত প্রক্রিয়া (ডেমন অন্তর্ভুক্ত) কে একটি প্রসঙ্গ দিন। আপনি ফাইল সিস্টেমে প্রসঙ্গের সাথে কাজ করার জন্য লেবেলটি রেখেছেন matching যখন কোনও প্রক্রিয়া তার প্রসঙ্গে কিছু না করার চেষ্টা করে, আপনি একটি বার্তা পাবেন এবং, যদি সেলইনাক্স প্রযোজ্য মোডে থাকে, ক্রিয়াটি সম্পূর্ণ করতে পারে না।
এইভাবে, যদি আপনার পর্বতযুক্ত ট্রোজান পিএস কমান্ড বা অন্য কিছু (ওজন এড়াতে ট্রোজান / রুটকিটস / কৃমিগুলির জন্য সাধারণ কৌশল) ওভাররাইট করতে ইচ্ছুক ছিল, তবে আমি তা করার অনুমতি দেব না। এবং আপনাকে অবহিত করা হবে।
আমি কনফিগার করা শক্ত, তবে আমার মেশিনগুলি এখনই প্রয়োগ করা এসইএলিনাক্সের সাথে কাজ করছে এবং আমার (দুটি) ফেডোরা ল্যাপটপগুলি খুব বেশি ঝামেলা ছাড়াই ডেস্কটপের প্রয়োজনীয় কিছু করতে পারে।
এমনকি আমার হোম সার্ভার এখন প্রয়োগকারী মোডে রয়েছে।
আর একটি কৌশল হ'ল রুটকিট ডিটেক্টরগুলির নিয়মিত সঞ্চালন যা সৃজনশীল কমান্ডগুলির জন্য একটি চেকসাম গণনা করে এবং আপনাকে প্রাথমিক আদেশগুলি পরিবর্তন সম্পর্কে অবহিত করে।
আমি সেলইনাক্স এবং আরখুন্টার সক্ষম দুটি (প্লাস একটি ক্ল্যামভ অ্যান্টিভাইরাস) নিয়ে কাজ করি।

শুভেচ্ছা সহ

— lucabotti
সূত্র

2

আর একটি প্রতিক্রিয়া জোর দিয়েছিল যে "হাইডার্স" (স্টিলথ ম্যালওয়্যার) "ডিটেক্টর" এর চেয়ে অভ্যন্তরীণ সুবিধা অর্জন করে। আমি একমত নই আপনি যদি ম্যালওয়্যার সনাক্ত করার জন্য স্বাক্ষর বা হিউরিস্টিকের উপর নির্ভর করে এমন সনাক্তকরণের পদ্ধতির মধ্যে নিজেকে সীমাবদ্ধ রাখেন তবে এটি সত্য। তবে ম্যালওয়্যার সনাক্ত করার জন্য আরও একটি উপায় রয়েছে: পরিচিত জিনিসগুলি যাচাই করুন। ট্রিপওয়ায়ার, এইড, ইত্যাদি ডিস্কে থাকা ফাইলগুলি যাচাই করতে পারে। দ্বিতীয় চেহারা চলমান কার্নেল এবং প্রক্রিয়াগুলি যাচাই করতে পারে। দ্বিতীয় চেহারা অপারেটিং সিস্টেম, সক্রিয় পরিষেবাদি এবং অ্যাপ্লিকেশনগুলিকে সরাসরি পরিদর্শন করতে মেমরি ফরেনসিক ব্যবহার করে। এটি লিনাক্স বিতরণ বিক্রেতার দ্বারা প্রকাশিত সংস্করণের সাথে মেমোরিতে কোডটির তুলনা করে। এই পদ্ধতিতে এটি তাত্ক্ষণিকভাবে রুটকিটস এবং ব্যাকডোরগুলি দ্বারা করা দূষিত পরিবর্তনগুলি এবং কার্যকর করা অননুমোদিত প্রোগ্রামগুলি (ট্রোজান ইত্যাদি) চিহ্নিত করতে পারে।

(প্রকাশ: আমি দ্বিতীয় বর্ণের প্রধান বিকাশকারী))

— অ্যান্ড্রু টেপার্ট
সূত্র