Как найти бэкдор на компьютере
Обновлено: 21.11.2024
Эта тема заблокирована. Вы можете подписаться на вопрос или проголосовать за него как полезный, но вы не можете отвечать в этой теме.
Сообщить о нарушении
Домогательство – это любое поведение, направленное на то, чтобы побеспокоить или расстроить человека или группу людей. К угрозам относятся любые угрозы самоубийства, насилия или причинения вреда другому человеку. Любой контент на тему для взрослых или неуместный для веб-сайта сообщества. Любое изображение, ссылка или обсуждение наготы. Любое поведение, которое является оскорбительным, грубым, вульгарным, оскверняет или демонстрирует неуважение. Любое поведение, которое может нарушать лицензионные соглашения с конечными пользователями, включая предоставление ключей продукта или ссылок на пиратское программное обеспечение. Незапрашиваемая массовая рассылка или массовая реклама. Любые ссылки на вирусы, шпионское ПО, вредоносное ПО или фишинговые сайты или их пропаганда. Любой другой неприемлемый контент или поведение, как это определено Условиями использования или Кодексом поведения. Любое изображение, ссылка или обсуждение, связанные с детской порнографией, детской наготой или другим жестоким обращением с детьми или их эксплуатацией.
Ответы (4)
<р>1. Был ли компьютер с предустановленной Win10, была ли произведена чистая установка Win10, или вы обновили компьютер с Win7 или компьютер с Win8.1 [ <р>2. Кто произвел компьютер (например, Dell, HP, Acer, Lenovo, ASUS)? <р>3. Устанавливалось ли приложение Norton или приложение McAfee КОГДА-ЛИБО на компьютер с момента его покупки? <р>4. Вы когда-нибудь запускали Norton Removal Tool и/или McAfee Consumer Products Removal Tool? <р>5. Какая версия и сборка ОС Windows 10 установлена в настоящее время?- Нажмите и удерживайте клавишу Windows, затем нажмите клавишу R. В диалоговом окне "Выполнить" введите WINVER и нажмите клавишу Enter.
Сообщить о нарушении
Домогательство – это любое поведение, направленное на то, чтобы побеспокоить или расстроить человека или группу людей. К угрозам относятся любые угрозы самоубийства, насилия или причинения вреда другому человеку. Любой контент на тему для взрослых или неуместный для веб-сайта сообщества. Любое изображение, ссылка или обсуждение наготы. Любое поведение, которое является оскорбительным, грубым, вульгарным, оскверняет или демонстрирует неуважение. Любое поведение, которое может нарушать лицензионные соглашения с конечными пользователями, включая предоставление ключей продукта или ссылок на пиратское программное обеспечение. Незапрашиваемая массовая рассылка или массовая реклама. Любые ссылки на вирусы, шпионское ПО, вредоносное ПО или фишинговые сайты или их пропаганда. Любой другой неприемлемый контент или поведение, как это определено Условиями использования или Кодексом поведения. Любое изображение, ссылка или обсуждение, связанные с детской порнографией, детской наготой или другим жестоким обращением с детьми или их эксплуатацией.
1 человек нашел этот ответ полезным
Был ли этот ответ полезен?
Извините, это не помогло.
Отлично! Благодарим за отзыв.
Насколько вы удовлетворены этим ответом?
Спасибо за ваш отзыв, он помогает нам улучшить сайт.
Насколько вы удовлетворены этим ответом?
Спасибо за отзыв.
Очистите временные файлы Интернета, перезапустите, вручную обновите WD и запустите быстрое сканирование.
Emsisoft должна устранить вредоносное ПО, но если нет, попробуйте несколько из следующих бесплатных сканеров:
При необходимости вам может потребоваться перезагрузить браузеры:
Сообщить о нарушении
Домогательство – это любое поведение, направленное на то, чтобы побеспокоить или расстроить человека или группу людей. К угрозам относятся любые угрозы самоубийства, насилия или причинения вреда другому человеку. Любой контент на тему для взрослых или неуместный для веб-сайта сообщества. Любое изображение, ссылка или обсуждение наготы. Любое поведение, которое является оскорбительным, грубым, вульгарным, оскверняет или демонстрирует неуважение. Любое поведение, которое может нарушать лицензионные соглашения с конечными пользователями, включая предоставление ключей продукта или ссылок на пиратское программное обеспечение. Незапрашиваемая массовая рассылка или массовая реклама. Любые ссылки на вирусы, шпионское ПО, вредоносное ПО или фишинговые сайты или их пропаганда. Любой другой неприемлемый контент или поведение, как это определено Условиями использования или Кодексом поведения. Любое изображение, ссылка или обсуждение, связанные с детской порнографией, детской наготой или другим жестоким обращением с детьми или их эксплуатацией.
3 человека сочли этот ответ полезным
Был ли этот ответ полезен?
Извините, это не помогло.
Отлично! Благодарим за отзыв.
Насколько вы удовлетворены этим ответом?
Спасибо за ваш отзыв, он помогает нам улучшить сайт.
Насколько вы удовлетворены этим ответом?
Спасибо за отзыв.
- Нажмите и удерживайте клавишу Windows, затем нажмите клавишу R. В диалоговом окне "Выполнить" введите WINVER и нажмите клавишу Enter.
1.Нет, это не предустановленная винда. Да, я сделал чистую установку, я удалил виндовс 7 и установил виндовс 10 без обновления.
2.Изготавливается поштучно, а не брендом, как будто вы идете в магазин и покупаете компьютер acer.
5.Версия 1607 (сборка ОС 14393.693)
Сообщить о нарушении
Домогательство – это любое поведение, направленное на то, чтобы побеспокоить или расстроить человека или группу людей. К угрозам относятся любые угрозы самоубийства, насилия или причинения вреда другому человеку. Любой контент на тему для взрослых или неуместный для веб-сайта сообщества. Любое изображение, ссылка или обсуждение наготы.Любое поведение, которое является оскорбительным, грубым, вульгарным, оскверняет или демонстрирует неуважение. Любое поведение, которое может нарушать лицензионные соглашения с конечными пользователями, включая предоставление ключей продукта или ссылок на пиратское программное обеспечение. Незапрашиваемая массовая рассылка или массовая реклама. Любые ссылки на вирусы, шпионское ПО, вредоносное ПО или фишинговые сайты или их пропаганда. Любой другой неприемлемый контент или поведение, как это определено Условиями использования или Кодексом поведения. Любое изображение, ссылка или обсуждение, связанные с детской порнографией, детской наготой или другим жестоким обращением с детьми или их эксплуатацией.
Был ли этот ответ полезен?
Извините, это не помогло.
Отлично! Благодарим за отзыв.
Насколько вы удовлетворены этим ответом?
Спасибо за ваш отзыв, он помогает нам улучшить сайт.
Насколько вы удовлетворены этим ответом?
Спасибо за отзыв.
<р>1а. Когда (желательно точную дату) вы выполнили чистую установку Windows 10?1б. Вы форматировали жесткий диск перед чистой установкой Windows 10?
1с. Делали ли вы резервную копию каких-либо данных на внешнем источнике (например, на флэш-накопителе) до выполнения чистой установки Windows 10, а затем восстанавливали данные на жесткий диск компьютера после этого?
<р>2. Какой ключ продукта вы использовали для активации чистой установки Windows 10?3а. Какие версии определений в настоящее время перечислены на вкладке «Обновление» Защитника?
3б. Какая дата последнего обновления определений?
3с. Что произойдет, если вы нажмете кнопку ОБНОВИТЬ на этой вкладке?
<р>4. Какие сторонние приложения для защиты от вредоносных программ (т. е. не Защитник Windows!) установлены, если таковые имеются? Какой сторонний брандмауэр, если есть? <р>5. Находится ли KB3211320 в списке установленных обновлений (не в истории обновлений)? [1] <р>7. Установлен ли Firefox версии 51.0 (или выше) и/или Google Chrome версии 56.0 (или выше) или любой другой альтернативный браузер? <р>9. Вы привыкли использовать «очистители реестра» (например, компонент CCleaner Registry Cleaner; Registry Mechanic; System Mechanic; RegCure; RegClean Pro; Advanced SystemCare; Total System Care? ; Advanced System Optimizer; Comodo System Cleaner; Glary Utilities; Registry Booster; McAfee QuickClean; AVG Quick Clean; AVG PC TuneUp; Norton Registry Cleaner ; Norton PC Tuneup; PCTools Optimiser; SpeedUpMyPC; FixMyPC; PC Doctor; TuneUp Utilities; WinMaximizer; WinSweeper; Wise Care 365; Wise Cleaner и т. д.)?[1] Запустить [WinKey] | Программы и функции | Установленные обновления
Сообщить о нарушении
Домогательство – это любое поведение, направленное на то, чтобы побеспокоить или расстроить человека или группу людей. К угрозам относятся любые угрозы самоубийства, насилия или причинения вреда другому человеку. Любой контент на тему для взрослых или неуместный для веб-сайта сообщества. Любое изображение, ссылка или обсуждение наготы. Любое поведение, которое является оскорбительным, грубым, вульгарным, оскверняет или демонстрирует неуважение. Любое поведение, которое может нарушать лицензионные соглашения с конечными пользователями, включая предоставление ключей продукта или ссылок на пиратское программное обеспечение. Незапрашиваемая массовая рассылка или массовая реклама. Любые ссылки на вирусы, шпионское ПО, вредоносное ПО или фишинговые сайты или их пропаганда. Любой другой неприемлемый контент или поведение, как это определено Условиями использования или Кодексом поведения. Любое изображение, ссылка или обсуждение, связанные с детской порнографией, детской наготой или другим жестоким обращением с детьми или их эксплуатацией.
Вредоносный бэкдор – это код, который обеспечивает несанкционированный и часто неограниченный доступ к скомпрометированному сайту. Они позволяют злоумышленникам получить доступ ко всем файлам в учетной записи хостинга. Бэкдоры могут выглядеть как обычный php-код или быть запутанными (намеренно скрытыми, чтобы сделать код неоднозначным) и скрытыми. Бэкдор может быть вставлен в действующий файл в виде одной короткой строки кода, которая выглядит довольно невинно. Или бэкдор может быть отдельным файлом. Доступ через бэкдор позволяет злоумышленнику разместить на сайте любой вредоносный код. Бэкдоры часто встречаются вместе с другими вредоносными программами.
Определение того, заражен ли ваш сайт
Бэкдоры бывает сложно найти, так как они часто представляют собой запутанный код. Обычно, если есть один бэкдор, есть и другие, которые могут выглядеть или не выглядеть одинаково. Иногда бэкдоры представляют собой незащищенные сценарии обслуживания, случайно оставленные после авторизованного обслуживания сайта.
Владелец сайта часто не знает, что на сайте существуют бэкдоры, однако, если на сайте обнаружено какое-либо другое вредоносное ПО, вполне вероятно, что также существует множество бэкдор-файлов или внедрений кода, что позволяет злоумышленнику получить доступ к сайту. .
Поиск и удаление бэкдоров
Для удаления бэкдоров требуется анализ кода сайта. Бэкдоры обычно находятся в файлах php на веб-сервере. Они могут быть либо вставлены в ваши файлы ядра, плагина или темы, либо они могут быть отдельными файлами. Их можно найти в любом общедоступном каталоге на вашем сервере, к которому может легко получить доступ тот, кто их разместил.
Скомпрометированная учетная запись администратора может позволить злоумышленнику использовать основной редактор темы для добавления бэкдора в файл темы 404. Таким образом, каждый запрос к вашему сайту, который генерирует сообщение об ошибке 404, открывает лазейку, которую может использовать любой, кто знает, что она там есть.
Для удаления бэкдора необходимо найти код, обеспечивающий несанкционированный доступ, и удалить этот код. Это требует понимания кода, управляющего вашим сайтом.
Незаконные файловые бэкдоры
Вот несколько примеров бэкдоров, обнаруженных как мошеннические файлы или файлы, которые не являются частью основного плагина, темы или системы управления контентом. Их имена кажутся невинными или похожими на другие основные файлы, такие как xml.php, media.php, plugin.php и т. д., и их можно размещать в любом месте сайта. Код в мошенническом файле может начинаться так:
Важно не только искать посторонние файлы на вашем сайте, но и проверять каждый файл.
Плагины и темы бэкдора
Если учетная запись администратора скомпрометирована, злоумышленники часто используют возможности сайта по загрузке плагинов или тем для добавления бэкдоров.
Если подключаемый модуль добавлен с бэкдорами, он может отображаться или не отображаться на вашей странице администрирования подключаемого модуля. Вредоносные файлы плагинов часто скрыты от просмотра и видны в файловой системе только через ваш файловый менеджер или FTP. Они часто называют вещи, которые кажутся полезными, например:
- Поддержка WordPress
- Стена входа
- WP ZIP
- WP-база-SEO
Могут быть установлены подключаемые модули, которые выглядят как обычные подключаемые модули с названиями вроде Akismet3 вместе с некоторыми более старыми действительными файлами Akismet, но с бэкдор-кодом, содержащимся в загруженных файлах.
Также могут быть добавлены файлы тем, содержащие бэкдоры. Тема WordPress Sketch какое-то время была популярной темой, загруженной вредоносным ПО, в которую были загружены многочисленные бэкдор-файлы. Тема может отображаться на странице администрирования темы, или в ней могут отсутствовать некоторые файлы, и она может быть указана внизу этой страницы как неактивная тема, поскольку в ней отсутствуют некоторые файлы.
Если у вас есть темы или плагины, которые вы не узнаете, удалите их. Но вам также нужно будет просмотреть остальные файлы. Часто один бэкдор — это средство для добавления дополнительных бэкдоров на весь сайт, включая редактирование основных файлов для добавления в них функций бэкдора.
Вставки бэкдора в основной файл
В основные файлы вашей системы управления контентом могут быть вставлены лазейки. Они могут быть добавлены в начало файла, в конец файла, а в некоторых случаях вперемешку с допустимым кодом самого основного файла.
Этот код или подобный ему код часто добавляется вверху действительной страницы.
Вот еще один пример.
Другие бэкдоры сильно запутаны и могут начинаться так.
Часто в файле бэкдора есть ссылки на FilesMan.
Иногда бэкдор специально записывает вредоносный контент в определенный файл, в этом случае перенаправляет на файл .htaccess.
Незащищенные сценарии обслуживания
Сценарии обслуживания иногда остаются после выполнения обслуживания. Эти скрипты позже обнаруживаются злоумышленниками и эксплуатируются. Одним из популярных сценариев обслуживания является searchreplacedb2.php, который разрешает неограниченный доступ к базе данных сайта.
Заглядывая за лазейку
Бэкдоры чаще всего используются как средство для достижения цели в сочетании с другими вредоносными страницами. Если у вас есть бэкдоры, скорее всего, на вашем сайте есть другие вредоносные программы, такие как спам-страницы, спам-ссылки, фишинговые операции или вредоносные перенаправления.
Независимо от того, какой тип бэкдора вы обнаружили на своем сайте, главный вопрос: как он туда попал? На вашем сайте могут быть другие типы вредоносных программ или уязвимостей безопасности, которые позволили злоумышленнику получить доступ к сайту. Злоумышленники часто размещают несколько бэкдоров, одни похожие, другие разные, поэтому важно проверить весь сайт.
Если после прочтения этого руководства вы не знаете, как удалить бэкдоры, если вы не уверены, удалили ли вы их все, или ищете дополнительные ответы о том, как код был размещен на вашем сайте, обратитесь за помощью.
Бэкдор — вредоносное ПО, способное обходить средства компьютерной безопасности
Бэкдоры – это скрытая киберинфекция, способная обойти систему безопасности
Бэкдор – это вредоносная компьютерная программа, которая используется для предоставления злоумышленнику несанкционированного удаленного доступа к скомпрометированной системе ПК путем использования уязвимостей в системе безопасности. Работает в фоновом режиме и скрывается от пользователя, как и защитное ПО. Из-за скрытного характера этого типа вредоносного ПО его может быть очень трудно обнаружить, если не используются адекватные решения для обеспечения безопасности.
Бэкдор — один из самых опасных видов паразитов, так как позволяет хакерам выполнять любые действия на зараженном компьютере. Злоумышленник может использовать его для слежки за пользователями, управления их файлами, установки дополнительных вредоносных программ или опасных скриптов, контроля всей системы ПК и атак на другие хосты.
Довольно часто бэкдор обладает дополнительными деструктивными возможностями, такими как регистрация нажатий клавиш, захват снимков экрана, уничтожение файлов или шифрование. После установки он может работать самостоятельно и внедряться глубоко в зараженную систему, при необходимости принимая команды от злоумышленников.
Большинство бэкдоров должны быть каким-то образом установлены на компьютере. Тем не менее, некоторые паразиты не требуют установки, так как их файлы уже интегрированы в программное обеспечение, работающее на удаленном хосте. Программисты иногда оставляют такие уязвимости в своем программном обеспечении для диагностики и устранения неполадок, хотя хакеры могут использовать эти недостатки, чтобы проникнуть в систему.
Вообще говоря, бэкдоры могут представлять собой функциональные возможности троянов, вирусов, клавиатурных шпионов, шпионских программ и инструментов удаленного администрирования. Они работают так же, как и упомянутые вирусные приложения. Однако их функции и полезная нагрузка намного сложнее и опаснее, поэтому они сгруппированы в одну конкретную категорию.
Методы распространения через бэкдор
Для распространения бэкдоров требуется вмешательство пользователей. Большинство таких паразитов необходимо устанавливать вручную в комплекте с другим программным обеспечением. Существует четыре основных способа проникновения этих угроз в систему.
- Неосведомленные пользователи ПК могут случайно установить вредоносное программное обеспечение на свои компьютеры. Они могут прикрепляться к сообщениям электронной почты или программам обмена файлами. Их авторы дают им ничего не подозревающие имена и обманом заставляют пользователей открывать или запускать такие файлы.
- Бэкдоры часто устанавливаются другими паразитами, такими как вирусы, трояны или программы-шпионы. Они попадают в систему без ведома и согласия пользователя и затрагивают каждого пользователя, владеющего скомпрометированным компьютером. Некоторые угрозы могут быть установлены вручную злоумышленниками, обладающими достаточными правами для установки программного обеспечения. В некоторых случаях уязвимости программного обеспечения могут использоваться для взлома удаленных систем.
- Несколько бэкдоров уже интегрированы в определенные приложения. Даже законные программы могут иметь недокументированные функции удаленного доступа. Злоумышленнику необходимо связаться с компьютером, на котором установлено такое программное обеспечение, чтобы мгновенно получить к нему полный несанкционированный доступ или получить контроль над определенным программным обеспечением.
- Некоторые бэкдоры заражают компьютер, используя определенные уязвимости в программном обеспечении. Они работают аналогично червям и автоматически распространяются без ведома пользователя. Пользователь не может заметить ничего подозрительного, так как такие угрозы не отображают ни мастеров настройки, ни диалогов, ни предупреждений.
Широко распространенные бэкдоры поражают в основном компьютеры, работающие под управлением операционной системы Microsoft Windows. Однако многие менее распространенные паразиты предназначены для работы в разных средах, таких как macOS и Linux.
Backroods можно использовать для установки других вредоносных программ, например программ-вымогателей или вредоносных программ для майнинга монет
Факторы риска бэкдора
Бэкдор позволяет злоумышленнику работать с зараженным компьютером, как если бы это был его собственный компьютер, и использовать его для различных вредоносных целей или даже преступной деятельности. В большинстве случаев действительно трудно выяснить, кто контролирует паразита. На самом деле, все инфекции такого типа очень трудно обнаружить.
Они могут нарушать конфиденциальность пользователей на месяцы и даже годы, пока пользователь их не заметит. Автор вредоносного ПО может использовать его, чтобы узнать все о пользователе, получить и раскрыть конфиденциальную информацию, такую как пароли, имена для входа в систему, номера кредитных карт, точные данные банковского счета, ценные личные документы, контакты, интересы, привычки просмотра веб-страниц и многое другое.
Кроме того, этих паразитов можно использовать в разрушительных целях. Если хакер не может получить какую-либо ценную и полезную информацию с зараженного компьютера или уже украл ее, он/она в конечном итоге может уничтожить всю систему, чтобы стереть цифровые следы. Это означает, что все жесткие диски будут отформатированы, а все файлы на них будут полностью стерты.
Когда бэкдор попадает в систему, он выполняет следующие действия:
- Позволяет злоумышленнику создавать, удалять, переименовывать, копировать или редактировать любой файл, выполнять различные команды, изменять любые системные настройки, изменять реестр Windows, запускать, контролировать, завершать работу приложений, устанавливать другое программное обеспечение и паразиты.
- Позволяет злоумышленнику управлять аппаратными устройствами компьютера, изменять соответствующие настройки, выключать или перезагружать компьютер в любое время.
- Похищает конфиденциальную личную информацию, ценные документы, пароли, имена для входа в систему, идентификационные данные, регистрирует действия пользователей и отслеживает привычки просмотра веб-страниц.
- Записывает нажатия клавиш и делает снимки экрана. Кроме того, он отправляет все собранные данные на предварительно определенный адрес электронной почты, загружает их на заранее определенный FTP-сервер или передает их через фоновое подключение к Интернету на удаленный хост.
- Заражает файлы, портит установленные приложения и повреждает всю систему.
- Распространяет зараженные файлы на удаленные компьютеры с определенными уязвимостями в системе безопасности, выполняет атаки на определенные хакерами удаленные узлы.
- Устанавливает скрытый FTP-сервер, который злоумышленники могут использовать в различных незаконных целях.
- Снижает скорость подключения к Интернету и общую производительность системы.
- Предотвращает удаление, скрывая файлы и не предоставляя функцию удаления.
Самые известные бэкдоры
Существует множество различных бэкдоров. Следующие примеры иллюстрируют, насколько функциональными и чрезвычайно опасными могут быть эти паразиты.
Финшпион
FinSpy , также известный как FinFisher, представляет собой бэкдор, который позволяет удаленному злоумышленнику загружать и запускать произвольные файлы из Интернета. Паразит снижает общую безопасность системы, изменяя настройки брандмауэра Windows по умолчанию и инициируя другие системные изменения. FinSpy использует файлы со случайными именами, поэтому их довольно сложно обнаружить и удалить из системы. Он также автоматически запускается при каждом запуске Windows, и его можно остановить только с помощью обновленного антишпионского ПО.
Вредоносная программа FinSpy — это спорный шпионский инструмент, который обычно устанавливается путем обхода брешей в системе безопасности
Тиксанбот
Tixanbot — чрезвычайно опасный бэкдор, который дает удаленному злоумышленнику полный несанкционированный доступ к скомпрометированному компьютеру. Злоумышленник может управлять всей системой и файлами, загружать и устанавливать произвольные приложения, обновлять бэкдор, изменять домашнюю страницу Internet Explorer по умолчанию, атаковать удаленные хосты и получать системную информацию.
Tixanbot прекращает работу основных системных служб и процессов, связанных с безопасностью, закрывает активные средства удаления шпионского ПО и удаляет записи реестра, связанные с брандмауэрами, антивирусным и антишпионским программным обеспечением, чтобы предотвратить их запуск при запуске Windows. Паразит также блокирует доступ к авторитетным веб-ресурсам, связанным с безопасностью. Tixanbot может распространяться. Он отправляет сообщения с определенными ссылками всем контактам MSN. При нажатии на такую ссылку происходит загрузка и установка бэкдора.
Взятка
Briba — это бэкдор, который дает хакеру удаленный и несанкционированный доступ к зараженной компьютерной системе. Этот паразит запускает скрытый FTP-сервер, который можно использовать для загрузки, загрузки и запуска вредоносного программного обеспечения. Действия Briba могут привести к заметной нестабильности, снижению производительности компьютера и нарушению конфиденциальности.
Удаление бэкдора из системы
Бэкдоры — чрезвычайно опасные паразиты, которые необходимо удалить из системы. Вы вряд ли сможете найти или удалить бэкдор вручную. Вот почему мы настоятельно рекомендуем использовать опцию автоматического удаления. Для удаления бэкдоров предлагается множество программ безопасности, хотя для некоторых вирусов может потребоваться сканирование с использованием нескольких различных средств защиты от вредоносных программ.
У антивирусных ядер есть базы данных, в которые включены все известные вирусы. Однако прежде чем вредоносное ПО можно будет добавить в базу данных, его необходимо протестировать в среде песочницы. Обычно поставщикам требуется некоторое время, прежде чем новая угроза будет тщательно изучена и добавлена в базы данных. По этой причине не все программы безопасности могут обеспечить обнаружение и устранение всех угроз.
У меня есть машина с Mac OS X, и я подозреваю, что там может быть установлен бэкдор.
Я знаю, что мог бы отнести его в профессиональную охранную фирму для анализа или взорвать его с орбиты, но мне интересно разобраться с этим самому.
Какие криминалистические методы можно использовать, чтобы определить, существуют ли в системе какие-либо лазейки?
Кроме того, какие параметры конфигурации сети я мог бы задействовать (например, правила брандмауэра или IDS), чтобы ограничить или обнаружить использование бэкдоров в моей системе?
Если хакер использует программу под названием «cryptocat» в kali linux, тогда связь между компьютером хакера и компьютером жертвы будет зашифрована, и ее практически невозможно обнаружить с помощью брандмауэра или IDS.
5 ответов 5
Если кто-то заложил в вашу систему какие-то скрытые лазейки, и если они были в этом компетентны, то вы не сможете их найти. «Компетенция» здесь означает «иметь доступ в Интернет и набирать в Google «руткит mac os x»». См., например. это.Теоретически невозможно полностью скрыть бэкдор, но только в том же смысле, в каком теоретически возможно написать программу без ошибок. Другими словами, это сложно.
«Лаборатории безопасности», кем бы они ни были, могут попытаться заглянуть в вашу машину, если обнаружат что-то подозрительное. Возможно, если вы наблюдаете странные симптомы, они смогут объяснить их, не постулируя наличие вируса/бэкдора/вредоносной программы. Если вы не хотите показывать им свой компьютер, то никуда не деться: вам придется проводить анализ самостоятельно, что означает приобретение технических навыков за несколько лет.
Либо переформатируйте жесткий диск, а затем переустановите его с нуля. Очень немногие вредоносные программы могут пережить это.
Если вы ищете неактивный бэкдор, то удачи вам, вам потребуются годы опыта компьютерной криминалистики, чтобы отследить его. С другой стороны, если вы ищете лазейку, которая используется, то использование анализа трафика из другой системы или аппаратного устройства в сети может позволить вам увидеть, не отправляет ли ваш компьютер неожиданные пакеты.
Это может помочь определить, активно ли кто-то использует ваш компьютер для каких-либо целей, но все же требует довольно высокого уровня технических знаний, поскольку в вашей системе будет происходить фоновая связь, даже когда она "ничего не делает". р>
Эффективность здесь не является переменной. Компромисс заключается в гарантии целостности по сравнению с затраченными ресурсами. Чтобы добиться полной уверенности в том, что ваша система имеет идеальную целостность (т. е. никто не может использовать вашу систему без вашего разрешения), вам потребуется потратить почти бесконечное количество ресурсов.
По крайней мере, вам понадобится операционная система с гораздо более строгим разделением, а затем OS X. В крайнем случае вам понадобится специализированный процессор, обеспечивающий строгое физическое разделение данных и управления (гарвардская архитектура, а не архитектура фон Неймана). Учитывая количество системных компонентов, находящихся вне вашего контроля (процессор, материнская плата, сетевая карта, операционная система и другое программное обеспечение), даже эксперту будет трудно обеспечить высокую надежность системы без посторонней помощи.
Учитывая, что вы не являетесь экспертом по вредоносным программам, лучшее, на что вы можете надеяться, — это снижение риска за счет снижения уязвимости, управления уязвимостями и уменьшения видимости угроз.
Ограничение воздействия означает такие шаги, как сокращение общего количества часов, в течение которых система подключена к сети, уменьшение размера и объема конфиденциальных данных, хранящихся в системе, а также сокращение загрузки и установки программного обеспечения.
Управление уязвимостями означает отслеживание всех компонентов вашей системы и постоянное обновление или исправление любых уязвимых компонентов. В первую очередь это программное обеспечение, но также может быть сетевая карта или периферийное устройство. Это означает мониторинг источников вашей ОС и приложений на наличие предупреждений об уязвимостях и перенастройку или исправление вашей системы по мере необходимости.
Уменьшение видимости угроз означает, что вы не сообщаете, где или что находится ваша система и что в ней содержится. Самый простой способ проиллюстрировать это — показать обратное. Не публикуйте в Facebook, что вы начали принимать кредитные карты для своего малого бизнеса, используя свой Macbook. Это предупреждает потенциального злоумышленника о ценной цели (номера кредитных карт), а также о возможных уязвимостях.
Одним из наиболее тревожных аспектов компьютерных вторжений является то, что хакеры обычно предпочитают избегать славы и стараются скрыть свое присутствие на скомпрометированных системах. Используя изощренные и тайные методы, они могут установить лазейки или руткиты, которые впоследствии позволят им получить полный доступ и контроль, избегая обнаружения.
Задние ходы по своей конструкции часто трудно обнаружить. Распространенной схемой маскировки их присутствия является запуск сервера для стандартной службы, такой как Telnet, но на необычном порту, а не на общеизвестном порту, связанном со службой. Несмотря на то, что существует множество продуктов для обнаружения вторжений, помогающих идентифицировать лазейки и руткиты, команда Netstat (доступная в Unix, Linux и Windows) представляет собой удобный встроенный инструмент, который системные администраторы могут использовать для быстрой проверки активности бэкдоров.
Короче говоря, команда Netstat выводит список всех открытых подключений к вашему ПК и от него. Используя Netstat, вы сможете узнать, какие порты на вашем компьютере открыты, что, в свою очередь, может помочь вам определить, заражен ли ваш компьютер каким-либо вредоносным агентом.
td> | Дуглас Швейцер — специалист по безопасности в Интернете, специализирующийся на вредоносном коде. Он является автором нескольких книг, в том числе «Упрощенная интернет-безопасность» и «Защита сети от вредоносного кода», а также недавно выпущенной книги «Реагирование на инциденты: инструментарий компьютерной криминалистики». |
Как только вы обнаружите, что компьютер заражен руткитом или трояном-бэкдором, вам следует немедленно отключить все скомпрометированные системы от Интернета и/или сети компании, удалив все сетевые кабели, модемные соединения и беспроводные сетевые интерфейсы.
Следующий шаг – восстановление системы с использованием одного из двух основных методов очистки системы и возобновления ее работы. Вы можете либо попытаться устранить последствия атаки с помощью антивирусного/антитроянского программного обеспечения, либо лучше переустановить программное обеспечение и данные из заведомо исправных копий.
Читайте также: