descubre virus o spyware en Linux

2

Sospecho que es el objetivo de hackers muy hábiles.

Hace 5 o 6 años encontré spyware en mi servidor web de Linux, estaba lkm enmascarado como módulo ppp_deflate con el hash md5 secuestrado. Quiero decir con el mismo hash md5 del ppp_deflate original. Todo comenzó porque 2 sitios buscaban fuera de línea pero no lo estaban.

Sospeché que la única forma de infectarme con ese software espía era conectarme a una red p2p. Luego formateé una nueva PC, actualicé, md5 de todos los archivos y la conecté a la red de emule. Después de unos minutos se infectó de forma totalmente invisible. No hay bloqueo / volcado del kernel, no se bloquea el emule, no hay rastro de intrusión Además, en tiempo de ejecución, el hash md5 de todos los archivos estaba bien, todos los archivos coinciden con su hash original. Pero desde el cd en vivo, el módulo ppp_deflate tenía un md5 diferente al original.

Entonces hice la última prueba. Formateé de nuevo y comparé el md5 del ppp_deflate original y el ppp_deflate infectado. Y eran diferentes. Después de eso hice:

# rmmod ppp_deflate

y luego cargo el infectado

# modprobe ppp_deflate

.. ¡Ahora el hash del módulo infectado era el mismo del original! Fui a la policía con mi problema ... pero el policía dijo que mi PC con Windows probablemente estaba mal configurada ...

Hace 5 o 6 años sospeché que mi caja había sido pirateada porque encontré un tipo extraño en irc y otros foros de chat que conocían parte de mi información personal. En estos meses pasaban las mismas cosas extrañas ..

No quiero usar herramientas antirootkit porque sé que no funcionan.

Entonces mi pregunta es: ¿Dónde debo buscar en mi caja de Linux para encontrar un software espía? Mis ideas son:

  1. firmware (efi, nic, vga, cd / dvd burner, etc.) (muy difícil)
  2. MBR y sector de arranque (kit de arranque ..) (quizás)
  3. kernel compilado estáticamente (poco probable)
  4. lkm (quizás)
  5. initrd (quizás)
  6. binarios (init, core bin, etc.) (demasiado estúpido)
  7. bibliotecas (libc y así sucesivamente) (demasiado estúpidas)
  8. proceso limitado iniciado automáticamente por gnome (fácil)
  9. extensiones de Firefox o Chrome (fácil)

Mi distro es el último Ubuntu con el último kernel 3.0 ..) Lo siento ... lo ultimo .. No quiero resolver mi problema con otro formato ... Quiero encontrar si hay problema. Así que quiero tener la lista de verificación más completa para encontrar malware.

No tengo ningún servicio en funcionamiento, también tengo 2 cortafuegos: uno en mi PC y otro en mi enrutador. Las contraseñas se han cambiado.

Muchas gracias por tu respuesta [s].

    
pregunta user45 14.04.2012 - 18:04
fuente

3 respuestas

3

Diagnóstico. En primer lugar, no estoy convencido de que alguna vez estuviste infectado. No proporcionaste ninguna evidencia de que estuviste infectado. (Tenga en cuenta que el MD5 de los archivos del sistema puede cambiar de manera rutinaria por razones benignas, por ejemplo, porque el sistema realizó una actualización automática del software y obtuvo una nueva versión del kernel). Un cambio en el MD5 de un archivo del sistema no significa necesariamente que esté infectado.

Una cosa que he visto en este negocio es que las personas a veces se preocupan, y si ven algo extraño que no entienden, lo atribuyen a un virus o hacker. Eso es comprensible, pero no necesariamente racional. Las computadoras son increíblemente complicadas y, a menos que usted sea un experto en informática, debe esperar que hagan cosas que no comprenden todo el tiempo.

Por lo tanto, es posible que tengas razón al infectar tu computadora. Pero también mantén la mente abierta: ten en cuenta la posibilidad de que tal vez tu computadora nunca se infectó, y quizás estés malinterpretando las cosas que ves.

Recuperación. Si su máquina está infectada o comprometida, solo hay una forma segura de responder: debe "atacar desde la órbita". En otras palabras, desconecte de la red, vuelva a formatear el disco duro, vuelva a instalar el sistema operativo desde una fuente que se sepa que está bien, establezca nuevas contraseñas (no reutilice las antiguas), habilite el firewall de su sistema, vuelva a conectarse a la red e inmediatamente realice una actualización de software para obtener la última versión de todo el software del sistema, cambie sus contraseñas en línea, reinstale todo su software de una fuente que se sepa que es buena, etc.

No hay una lista de verificación completa para encontrar malware. Sé que usted dijo que no desea volver a formatear, y simpatizo, pero realmente es la única opción que eliminará de manera confiable una infección. Lo siento. Sé que apesta.

    
respondido por el D.W. 14.04.2012 - 20:48
fuente
3

Bueno, cometiste un error muy común. Una vez que se comprometa un sistema, debería reinstalar el sistema y restaurar desde las copias de seguridad. Ya no puedes confiar en eso. También cambia cada contraseña única.

Si tienen la habilidad suficiente para cambiar su binario MD5sum, probablemente tendrán la habilidad suficiente para instalar un rootkit o similar.

  • ¿Hubo algo vulnerable, posiblemente vulnerable (algo en Internet que usted mismo escribió, etc.)?
  • ¿Reutilizó alguna contraseña?
  • ¿Hay algún servicio en ejecución?
  • ¿Alguien más tiene acceso físico?
  • ¿Va a sitios dudosos y descarga software cracked / special / homebrew?
respondido por el Lucas Kauffman 14.04.2012 - 18:11
fuente
2

He visto algunos inexplicables antes similares a esto. Resulta que un ex empleado de su ISP estaba molestando a la persona con la que se estaba metiendo, por lo que el tipo (ex empleado) se atormentaba con los clientes anteriores, ya que sabían cómo administrar la infraestructura de redes y la mayoría de las empresas no contratan a los clientes. calibre del empleado que haría que el sistema sea sólido como una roca.

Solución: cambie su enrutador a algo que admita DD-WRT o vaya a nivel empresarial / empresarial y el problema debería desaparecer y, por supuesto, generar sus contraseñas. Y no configure una DMZ a menos que desee reunir pruebas en un honeypot.

Si todavía tiene "problemas inexplicables", puede comprar o construir una conexión LAN por menos de $ 20 y colocarla entre su enrutador y módem y rastrear el tráfico entrante con wireshark e investigar lo que ocurre en su red.

Por curiosidad, ¿quién es su ISP y hacen algún tipo de filtrado, redireccionamiento o configuración de IP?

    
respondido por el Brad 17.04.2012 - 01:01
fuente

Lea otras preguntas en las etiquetas