Sospecho que es el objetivo de hackers muy hábiles.
Hace 5 o 6 años encontré spyware en mi servidor web de Linux, estaba lkm enmascarado como módulo ppp_deflate con el hash md5 secuestrado. Quiero decir con el mismo hash md5 del ppp_deflate original. Todo comenzó porque 2 sitios buscaban fuera de línea pero no lo estaban.
Sospeché que la única forma de infectarme con ese software espía era conectarme a una red p2p. Luego formateé una nueva PC, actualicé, md5 de todos los archivos y la conecté a la red de emule. Después de unos minutos se infectó de forma totalmente invisible. No hay bloqueo / volcado del kernel, no se bloquea el emule, no hay rastro de intrusión Además, en tiempo de ejecución, el hash md5 de todos los archivos estaba bien, todos los archivos coinciden con su hash original. Pero desde el cd en vivo, el módulo ppp_deflate tenía un md5 diferente al original.
Entonces hice la última prueba. Formateé de nuevo y comparé el md5 del ppp_deflate original y el ppp_deflate infectado. Y eran diferentes. Después de eso hice:
# rmmod ppp_deflate
y luego cargo el infectado
# modprobe ppp_deflate
.. ¡Ahora el hash del módulo infectado era el mismo del original! Fui a la policía con mi problema ... pero el policía dijo que mi PC con Windows probablemente estaba mal configurada ...
Hace 5 o 6 años sospeché que mi caja había sido pirateada porque encontré un tipo extraño en irc y otros foros de chat que conocían parte de mi información personal. En estos meses pasaban las mismas cosas extrañas ..
No quiero usar herramientas antirootkit porque sé que no funcionan.
Entonces mi pregunta es: ¿Dónde debo buscar en mi caja de Linux para encontrar un software espía? Mis ideas son:
- firmware (efi, nic, vga, cd / dvd burner, etc.) (muy difícil)
- MBR y sector de arranque (kit de arranque ..) (quizás)
- kernel compilado estáticamente (poco probable)
- lkm (quizás)
- initrd (quizás)
- binarios (init, core bin, etc.) (demasiado estúpido)
- bibliotecas (libc y así sucesivamente) (demasiado estúpidas)
- proceso limitado iniciado automáticamente por gnome (fácil)
- extensiones de Firefox o Chrome (fácil)
Mi distro es el último Ubuntu con el último kernel 3.0 ..) Lo siento ... lo ultimo .. No quiero resolver mi problema con otro formato ... Quiero encontrar si hay problema. Así que quiero tener la lista de verificación más completa para encontrar malware.
No tengo ningún servicio en funcionamiento, también tengo 2 cortafuegos: uno en mi PC y otro en mi enrutador. Las contraseñas se han cambiado.
Muchas gracias por tu respuesta [s].