Schadsoftware finden (vorrangig im Firefox profile)

[inne]

Hallo,

ich habe starken Verdacht das sich bei mir ein "Rootkit" oder ähliches im Home-Verz. eingenistet hat.
Wie kann man diesem auf die Spur kommen bzw. sicherstellen das man nicht gehackt wurde?

Ich habe einfach keine Lust wieder neu zu installieren und will wenn möglich nur das FF-Profile löschen und neu anlegen, wenn das reicht. Denn Iceweasel und Icedove laufen unter Apparmor. Können aber ua. nach /tmp schreiben.

Was würdet ihr tun?

[DeletedUserReAsG]

Wenn du schon AppArmor nutzt, warum nimmst du es dann nicht gleich zum Überwachen des fraglichen Verzeichnisses? Und wo siehst du das Problem damit, einfach das Profilverzeichnis zu löschen und ein neues Profil anzulegen? /tmp ist nach ’nem Reboot eh weg, und die Binaries/Libs unter / sollten für den User eh nie schreibbar sein – es sei denn, es handelt sich tatsächlich um ein Rootkit. Dann wär’s mit dem Neuanlegen eines Profils oder auch der Neuinstallation des FF natürlich nicht getan, dann stünde eine Neuinstallation des kompletten Systems an.

[uname]

Am besten überlegen was man vom Mozilla-Ordner überhaupt benötigt.
Die Konfiguration kann man besser global unter /etc/iceweasel/pref/iceweasel.js ablegen.
Bookmarks, Chronik, Cache usw. braucht man nicht wirklich. Maximal die Bookmarks könnte man exportieren und wieder importieren.

Statt deinen normalen Benutzer zu verwenden könntest du einen Benutzer anlegen (HOME=/tmp/user). Mit "xhost +user" und "export DISPLAY=localhost:0.0" oder so ähnlich könnte in deinem normalen X11-Umfeld dieser Benutzer den Iceweasel/Firefox starten.

[inne]

Wenn du schon AppArmor nutzt, warum nimmst du es dann nicht gleich zum Überwachen des fraglichen Verzeichnisses?

Dort finde ich keine erkennbaren Unregelmäßigkeiten.
Aber AppArmor erkennt auch nur verbotene Zugriffe und ich habe ua. ~/.mozilla mit Schreib- und Lesezugriff freigegeben.

Code: Alles auswählen

        ...
	# pre-user
	owner @{HOME}/.adobe/{,**} rw,
	owner @{HOME}/.cache/mozilla/{,**} rw,
	owner @{HOME}/.cache/mozilla/firefox/*/**.sqlite{,-shm} k,
	owner @{HOME}/dwhelper/{,**} rw, # add-on: video downloadhelper
	owner @{HOME}/.macromedia/{,**} rw,
	owner @{HOME}/.mozilla/firefox/*/.parentlock k,
	owner @{HOME}/.mozilla/firefox/*/**.sqlite{,-shm} k,
	owner @{HOME}/.mozilla/{,**} rw,
        ...

Werde hier wohl jede Datei einzeln listen müssen

Und wo siehst du das Problem damit, einfach das Profilverzeichnis zu löschen und ein neues Profil anzulegen?

Nirgens, darauf wird es auch hinauslaufen bevor eine Neuinstallation passiert.

Ich möchte nur gerne (mir selbst) beweisen können das ich "Schadsoftware" am laufen habe _oder nicht_.
Mir sind 2 Anomalien aufgefallen. Vor-gestern Nacht ist der Laptop neugestartet ("von alleine") und schon 2 mal ist der Mauscursor bei der Bedienung der Maus Abrupt an den unteren Bildschirmrand gesprungen.

[DeletedUserReAsG]

Die Frage ist, wieviel zu investieren du bereit bist. Du kannst die Hashes jeder einzelnen Systemdatei prüfen und rkhunter&Co. laufen lassen (von einem unveränderbaren und garantiert (da getestet) sauberen System aus, versteht sich), ein IDS installieren und bis ins Detail konfigurieren, den Netzwerktraffic komplett mitschneiden und auswerten, die Hardware mit externer Sensorik und Oszilloskopen überwachen (schließlich kann heutzutage selbst festverdrahtete Firmware Backdoors enthalten), etc., pp. – kannst dir allerdings dann immer noch nicht sicher sein, dass du alles abgedeckt und nichts übersehen hast.

Im beschriebenen Fall des Reboots würde ich allerdings eher in die Logs schauen (wenn du so paranoid bist, dass derartige Ereignisse eine solche Reaktion hervorrufen, wirst du sie ja sicher manipulationsgeschützt auf einer dedizierten Maschine vorhalten?), bzw. im Fall des Mauszeigers einfach annehmen, dass die Technologie dann doch nicht so perfekt ist, absolut fehlerfrei zu laufen.

[inne]

Lass mal gut sein @Niemand^^

[MSfree]

ich habe starken Verdacht das sich bei mir ein "Rootkit" oder ähliches im Home-Verz. eingenistet hat.

Worauf stützt sich diese windige Vermutung?
Im Homeverzeichnis nistet sich Schadsoftware in der Regel sowieso nicht ein. Und ja, ich habe schon einen realen Angriff live miterlebt, die Freude des Angreifers währte aber nicht lang.

Wie kann man diesem auf die Spur kommen bzw. sicherstellen das man nicht gehackt wurde?

- Platte in ein sauberes System mouten, Liste aller Dateien erstellen, nach verdächtigen Dateinamen suchen.
- System hinter eine Firewall stecken und Netzwerkverkehr mitschneiden.

Aber, da kommt bestimmt nichts bei raus, du siehst Gespenster.

[inne]

Aber, da kommt bestimmt nichts bei raus, du siehst Gespenster.

Na hoffentlich.
Ich finde da eh nix und sehe mich ausserstande da mehr herrauszubekommen. Es ist einfach nur lästig.

Wobei (selbes Setup) ich in letzter Zeit auch Likes bei FB hatte, die ich nicht getätigt habe. Aber dort habe ich schon das PW geändert - Bis heute ist da ruhe.

[TomL]

...die Bookmarks könnte man exportieren und wieder importieren.

Ist nicht notwendig. Einfach die alte places.sqlite ins neue Profil kopieren und gut ist. Neues Profil "starten".... alte Bookmarks sind vorhanden.