当前位置: 首页>>技术教程>>正文


boot – 在哪里可以找到机器上可能已安装的恶意软件?

, ,

问题描述

我想分析我的Ubuntu盒子,以检测它是否被黑客入侵了。我的问题是:在哪里可以找到是否启动了某些恶意软件?以下是某种原始列表:

  1. br

  2. 内核映像(我有md5)

  3. /sbin /init(我有md5)

  4. /etc /modules中的内核模块

  5. /etc/init.d和/etc /init中的所有服务脚本(我有md5)

  6. /etc/rc.local

  7. gnome自动运行

和?

我的问题是完全诚实的,不是恶意的。只是要检测我的盒子是否被盗。

最佳方案

恶意软件的目的是做某事。因此,它将需要与外界进行沟通。因此,最好的方法是查看计算机上正在发生的网络流量。

我喜欢dnstop实用程序。由sudo apt-get install dnstop安装

然后针对您的网卡运行该实用程序

sudo dnstop -l 3 eth0

当该实用程序运行时,按3键,这将更改屏幕以显示您的计算机发出的所有dns请求。

就我而言,我去了Ubuntu,它试图访问以下内容

Query Name               Count      %   cum%
-------------------- --------- ------ ------
www.gravatar.com             2   40.0   40.0
askubuntu.com                2   40.0   80.0
ny.stackexchange.com         1   20.0  100.0

这使我对访问了哪些网站有所了解。您所需要做的就是什么也不做,坐下来等一会儿,看看您的计算机可以访问什么。然后,努力跟踪其访问的所有那些网站。

您可以使用许多工具,我认为这是一种易于尝试的工具。

次佳方案

您永远无法知道您的PC是否已被感染。您可能可以通过侦听来自计算机的流量来判断。您可以执行以下操作以确保系统正常。请记住,没有什么是100%。

  • 确保您未启用root帐户

  • 确保有最新的安全更新,一旦它们出现

  • 不要安装您几乎不会或永远不会使用的软件

  • 确保您的系统具有强密码

  • 关闭不需要的任何服务或流程

  • 安装优质的防病毒软件(如果您要使用Windows,或者可能包含基于Windows的病毒的电子邮件)。

就找出您是否被黑客入侵而言;您将获得弹出广告,重定向到您不打算访问的网站等。

我不得不说,/sys /boot /etc尤其重要。

也可以使用内存取证工具(例如VolatilityVolatility)检测Linux恶意软件

另外,您可能需要查看Why do I need anti-virus software?。如果要安装Anti-virus软件,建议您安装ClamAV

第三种方案

您也可以尝试使用rkhunter来扫描您的PC,以查找许多常见的rootkit和特洛伊木马。

参考资料

本文由Ubuntu问答整理, 博文地址: https://ubuntuqa.com/article/11020.html,未经允许,请勿转载。