web-dev-qa-db-fra.com

Shell Script de détection de programmes malveillants et de porte dérobée

J'essaie de créer un script Shell capable de détecter automatiquement les logiciels malveillants, les backdoors et les rootkits, et j'essaie de le rechercher. J'ai trouvé des choses comme

find . -name “*.js” | xargs grep -l “eval(unescape”
find . -name “*.php” | xargs grep -l “eval(base64_decode” 

Mais je ne trouve pas que ce qui est pertinent pour trouver simplement les fichiers .php et .js et essayer de voir s’il s’agit d’un malware. Est-ce que n'importe qui peut m'aider s'il vous plaît à me donner une idée générale que je peux utiliser pour le script afin qu'il puisse faire le travail de détection de malware, de backdoors et de rootkits. Plus précisément, comment peut-on trouver ces malwares, portes dérobées et rootkits sur un système Ubuntu. Merci.

4
Tarun

Vous demandez à propos de 3 choses différentes ...

  1. Kits de racines;
  2. Portes dérobées;
  3. Malware.

Kits racine

La plupart des rootkits utilisent le noyau pour se cacher et ne sont visibles que depuis le noyau.

Si vous voulez savoir comment les trouver, pourquoi ne pas utiliser la puissance de l'open source et installer rkhunter et voir comment ils le font? Vous pouvez trouver la source ici .

En outre, le CERT a une explication approfondie explication sur ce qu’il faut rechercher dans le traitement des rootkits. Faits saillants du lien:

  • Examiner les fichiers journaux pour des connexions depuis des emplacements inhabituels ou d'autres activités inhabituelles
  • Recherchez les fichiers setuid et setgid (en particulier les fichiers racine setuid) partout sur votre système.

    find / -user root -perm -4000 -print
    find / -group kmem -perm -2000 -print
    
  • Vérifiez les fichiers binaires de votre système pour vous assurer qu'ils n'ont pas été modifiés.

  • Examinez tous les fichiers exécutés par "cron" et "at".
  • Vérifiez les services non autorisés.
  • Examinez le fichier/etc/passwd sur le système et vérifiez si des modifications ont été apportées à ce fichier.
  • Recherchez dans les fichiers de configuration de votre système et de votre réseau des entrées non autorisées.
  • Cherchez partout sur le système des fichiers inhabituels ou cachés (les fichiers commençant par un point et qui normalement ne sont pas affichés par 'ls').

La plupart de ces opérations peuvent être effectuées en ligne de commande.

A lire également:

Backdoors

Le problème avec les portes dérobées est qu’il s’agit généralement de failles dans les logiciels qui sont maltraitées. Le ensemble de règles de base ...

  1. installez immédiatement les mises à jour de sécurité lorsque vous êtes averti;
  2. n’installez pas d’antivirus, car vraiment ​​n’en avez pas besoin sous Linux; sauf si vous partagez des fichiers avec Windows
  3. activer le pare-feu (Sudo ufw enable) sans autre ajustement;
  4. tenez-vous-en autant que possible aux comptes-rendus officiels et ne vous en écarterez que lorsque cela sera strictement nécessaire et avec beaucoup de prudence;
  5. conservez Java (openJDK et Oracle Java) désactivés par défaut dans votre navigateur, et ne l'activez que si nécessaire;
  6. utilisez Wine avec prudence;
  7. et le plus important de tous: utilisez votre bon sens. La plus grande menace à la sécurité se trouve généralement entre le clavier et le fauteuil.

A lire:

Malware

Scannez /etc/hosts pour rechercher des adresses IP étranges et des noms d’hôtes. Si vous regardez ces:

soit une extension du navigateur, soit une modification de /etc/hosts en est la cause.

Une bonne lecture est aussi:

5
Rinzwind