问题描述
我想分析我的Ubuntu盒子,以检测它是否被黑客入侵了。我的问题是:在哪里可以找到是否启动了某些恶意软件?以下是某种原始列表:
-
br
-
内核映像(我有md5)
-
/sbin /init(我有md5)
-
/etc /modules中的内核模块
-
/etc/init.d和/etc /init中的所有服务脚本(我有md5)
-
/etc/rc.local
-
gnome自动运行
和?
我的问题是完全诚实的,不是恶意的。只是要检测我的盒子是否被盗。
最佳方案
恶意软件的目的是做某事。因此,它将需要与外界进行沟通。因此,最好的方法是查看计算机上正在发生的网络流量。
我喜欢dnstop实用程序。由sudo apt-get install dnstop
安装
然后针对您的网卡运行该实用程序
sudo dnstop -l 3 eth0
当该实用程序运行时,按3键,这将更改屏幕以显示您的计算机发出的所有dns请求。
就我而言,我去了Ubuntu,它试图访问以下内容
Query Name Count % cum%
-------------------- --------- ------ ------
www.gravatar.com 2 40.0 40.0
askubuntu.com 2 40.0 80.0
ny.stackexchange.com 1 20.0 100.0
这使我对访问了哪些网站有所了解。您所需要做的就是什么也不做,坐下来等一会儿,看看您的计算机可以访问什么。然后,努力跟踪其访问的所有那些网站。
您可以使用许多工具,我认为这是一种易于尝试的工具。
次佳方案
您永远无法知道您的PC是否已被感染。您可能可以通过侦听来自计算机的流量来判断。您可以执行以下操作以确保系统正常。请记住,没有什么是100%。
-
确保您未启用root帐户
-
确保有最新的安全更新,一旦它们出现
-
不要安装您几乎不会或永远不会使用的软件
-
确保您的系统具有强密码
-
关闭不需要的任何服务或流程
-
安装优质的防病毒软件(如果您要使用Windows,或者可能包含基于Windows的病毒的电子邮件)。
就找出您是否被黑客入侵而言;您将获得弹出广告,重定向到您不打算访问的网站等。
我不得不说,/sys
/boot
/etc
尤其重要。
也可以使用内存取证工具(例如Volatility或Volatility)检测Linux恶意软件
另外,您可能需要查看Why do I need anti-virus software?。如果要安装Anti-virus软件,建议您安装ClamAV
第三种方案
您也可以尝试使用rkhunter
来扫描您的PC,以查找许多常见的rootkit和特洛伊木马。