J'essaie de créer un script Shell capable de détecter automatiquement les logiciels malveillants, les backdoors et les rootkits, et j'essaie de le rechercher. J'ai trouvé des choses comme
find . -name “*.js” | xargs grep -l “eval(unescape”
find . -name “*.php” | xargs grep -l “eval(base64_decode”
Mais je ne trouve pas que ce qui est pertinent pour trouver simplement les fichiers .php et .js et essayer de voir s’il s’agit d’un malware. Est-ce que n'importe qui peut m'aider s'il vous plaît à me donner une idée générale que je peux utiliser pour le script afin qu'il puisse faire le travail de détection de malware, de backdoors et de rootkits. Plus précisément, comment peut-on trouver ces malwares, portes dérobées et rootkits sur un système Ubuntu. Merci.
Vous demandez à propos de 3 choses différentes ...
Kits racine
La plupart des rootkits utilisent le noyau pour se cacher et ne sont visibles que depuis le noyau.
Si vous voulez savoir comment les trouver, pourquoi ne pas utiliser la puissance de l'open source et installer rkhunter
et voir comment ils le font? Vous pouvez trouver la source ici .
En outre, le CERT a une explication approfondie explication sur ce qu’il faut rechercher dans le traitement des rootkits. Faits saillants du lien:
Recherchez les fichiers setuid et setgid (en particulier les fichiers racine setuid) partout sur votre système.
find / -user root -perm -4000 -print
find / -group kmem -perm -2000 -print
Vérifiez les fichiers binaires de votre système pour vous assurer qu'ils n'ont pas été modifiés.
La plupart de ces opérations peuvent être effectuées en ligne de commande.
A lire également:
Backdoors
Le problème avec les portes dérobées est qu’il s’agit généralement de failles dans les logiciels qui sont maltraitées. Le ensemble de règles de base ...
A lire:
Malware
Scannez /etc/hosts
pour rechercher des adresses IP étranges et des noms d’hôtes. Si vous regardez ces:
soit une extension du navigateur, soit une modification de /etc/hosts
en est la cause.
Une bonne lecture est aussi: