恶意软件和后门检测 Shell 脚本

Question

我正在尝试构建一个可以自动检测恶意软件、后门和 rootkit 的 shell 脚本，我正在尝试对其进行研究。我发现了一些像

find . -name “*.js” | xargs grep -l “eval(unescape”
find . -name “*.php” | xargs grep -l “eval(base64_decode” 

但我不认为只有这些与仅查找 .php 和 .js 文件相关，并尝试查看它是否包含恶意软件。任何人都可以帮我提供一个可以用于脚本的总体思路，以便它可以执行恶意软件、后门和 rootkit 检测工作。更准确地说，如何在 ubuntu 系统上找到这些恶意软件、后门程序和 rootkit。谢谢。

Answer 1

你问了 3 种不同的事情......

1. 根套件；
2. 后门；
3. 恶意软件。

根工具包

大多数根工具包使用内核来隐藏自己，并且它们只能从内核中看到。

如果您想知道如何找到它们，为什么不使用开源的力量并安装rkhunter并查看它们是如何做到的？您可以在此处找到来源。

除此之外，CERT对处理根工具包时要寻找的内容有详尽的解释。链接中的亮点：

• 检查来自异常位置或其他异常活动的连接的日志文件

• 在系统上的任何地方查找 setuid 和 setgid 文件（尤其是 setuid 根文件）

  find / -user root -perm -4000 -print
  find / -group kmem -perm -2000 -print
  

• 检查您的系统二进制文件以确保它们未被更改。

• 检查由“cron”和“at”运行的所有文件。
• 检查未经授权的服务。
• 检查系统上的 /etc/passwd 文件并检查对该文件的修改。
• 检查您的系统和网络配置文件是否有未经授权的条目。
• 在系统的任何地方查找异常或隐藏文件（以句点开头且通常不以“ls”显示的文件）。

大多数这些你可以从命令行完成。

同样值得一读：

• https://serverfault.com/questions/158691/how-to-check-if-a-linux-server-is-clean-from-rootkits-backdoors-botnets-etc

后门

后门的问题在于它们通常是被滥用的软件缺陷。该组基本的规则...

1. 收到通知后立即安装安全更新；
2. 不要安装杀毒软件，因为在 Linux 中你真的不需要它；除非您与 Windows 共享文件
3. 无需进一步调整即可启用防火墙（sudo ufw enable）；
4. 尽可能坚持官方回购，只有在绝对必要和谨慎的情况下才偏离它们；
5. 在浏览器中默认禁用 Java（openJDK 和 Oracle Java），仅在需要时启用它；
6. 谨慎使用 Wine；
7. 最重要的是：运用你的常识。最大的安全威胁通常出现在键盘和椅子之间。

值得一读：

• 如何处理 BackDoor.Wirenet.1
• https://serverfault.com/questions/171893/how-do-you-search-for-backdoors-from-the-previous-it-person
• /sf/ask/659241761/
• https://security.stackexchange.com/questions/35944/how-can-i-find-the-malicious-backdoor-codes-without-knowing-the-last-modified-da
• https://security.stackexchange.com/questions/32645/how-can-i-detect-backdoors

恶意软件

扫描/etc/hosts奇怪的 IP 地址和主机名。如果你看看这些：

• Google.com 在 FF 上重定向恶意软件
• Ubuntu 容易受到恶意软件站点的攻击？
• 弹出式恶意软件“openadserving.com”
• Chrome 弹出式恶意软件“openadserving.com”？

浏览器扩展或更改/etc/hosts是原因。

另外一个很好的阅读是：

• 在哪里可以查找可能已安装在我的计算机上的恶意软件？