マルウェアおよびバックドア検出シェルスクリプト

あなたは3つの異なることについて尋ねます...

1. ルートキット;
2. バックドア;
3. マルウェア。

ルートキット

ほとんどのルートキットはカーネルを使用して自身を隠し、カーネル内からのみ表示されます。

あなたがそれらを見つける方法を知りたいなら、なぜオープンソースの力を使ってrkhunterをインストールして、彼らがそれをするのか見てみませんか？ ここでソースを見つけることができます 。

それに加えて、CERTには徹底的な 説明 があり、ルートキットを扱う際に何を探すべきかについて説明しています。リンクのハイライト：

• 異常な場所やその他の異常なアクティビティからの接続のログファイルを調べる

• システム上のあらゆる場所でsetuidおよびsetgidファイル（特にsetuidルートファイル）を探します。

  find / -user root -perm -4000 -print
  find / -group kmem -perm -2000 -print
  

• システムバイナリをチェックして、変更されていないことを確認します。

• 「cron」と「at」で実行されるすべてのファイルを調べます。
• 不正なサービスがないか確認してください。
• システム上の/ etc/passwdファイルを調べ、そのファイルへの変更を確認します。
• システムおよびネットワーク構成ファイルを確認して、不正なエントリがないか確認してください。
• 異常なファイルまたは隠しファイル（ピリオドで始まり、通常は「ls」で表示されないファイル）をシステム上のあらゆる場所で探します。

これらのほとんどは、コマンドラインから実行できます。

また読む価値があります：

• https://serverfault.com/questions/158691/how-to-check-if-a-linux-server-is-clean-from-rootkits-backdoors-botnets-etc

バックドア

バックドアの問題は、一般的に悪用されるソフトウェアの欠陥であるということです。 ルールの基本セット ...

1. 通知されたらすぐにセキュリティ更新プログラムをインストールします。
2. アンチウイルスをインストールしないでください。Linuxでは本当に必要ないので、 Windowsとファイルを共有しない限り
3. さらに調整することなくファイアウォールを有効にします（Sudo ufw enable）。
4. 可能な限り公式リポジトリに固執し、厳密に必要な場合にのみ慎重にリポジトリから逸脱するようにします。
5. ブラウザでJava（openJDKとOracle Javaの両方）をデフォルトで無効にし、必要な場合にのみ有効にします。
6. wineを注意して使用してください。
7. そして最も重要なのは、常識を使用することです。最大のセキュリティ上の脅威は、一般にキーボードと椅子の間にあります。

読む価値があります：

• BackDoor.Wirenet.1に関して何をすべきか
• https://serverfault.com/questions/171893/how-do-you-search-for-backdoors-from-the-previous-it-person
• https://stackoverflow.com/questions/9417739/how-to-find-out-backdoor-in-php-source-code
• https://security.stackexchange.com/questions/35944/how-can-i-find-the-malicious-backdoor-codes-without-knowing-the-last-modified-da
• https://security.stackexchange.com/questions/32645/how-can-i-detect-backdoors

マルウェア

/etc/hostsをスキャンして、奇妙なIPアドレスとホスト名を探します。これらを見ると：

• GoogleのFF上のマルウェアのリダイレクト
• buntuはマルウェアサイトに対して脆弱ですか？
• ポップアップマルウェア“ openadserving.com”
• Chrome Popup Malware "openadserving.com"？

ブラウザの拡張機能または/etc/hostsの変更が原因です。

また、良い読み物は次のとおりです。

• マシンにインストールされている可能性のあるマルウェアはどこで確認できますか？