信頼できないUSBスティックをLinuxシステムに接続し(ユーザーとして)、いくつかのファイルを参照してコピーするとします(おそらくグラフィカルインターフェイスを使用して)。
USBスティックを取り外した後(使用できなくなった)スティックが自分のシステムに悪意のある操作を行ったかどうかを確認するには、何(特定のログファイルなど)を確認する必要がありますか?
明らかに、これは可能なすべての攻撃を検出することはできず、最良のアイデアはスティックをPCに接続しないことですが、この状況で最善の措置は何ですか(システムの再インストールに加えて)?
答え1
私が知っているデスクトップ環境のリムーバブルデバイスでデフォルトの自動実行と同じ機能はありません。したがって、実行される唯一のマルウェアは、ファイルシステムのバグ(可能性なし)とファイルを開くために使用されるアプリケーションのバグです。私が使用しているプログラム(LibreOfficeなど)から既知のセキュリティ問題を検索します。これが見つかる場所は、プログラムとディストリビューションによって異なります。
もう1つのアイデアは、スティックのみを使用し、rootではなくユーザー権限でのみファイルを開く場合は、root権限を持つすべてのファイルをペイロードである別の場所(文書、写真、音楽など)にコピーすることです。別の場所に移動するには、ホームディレクトリを空にして/ etc / skel / *をここにコピーし、保存したデータを再度移動して「クリーン」ホームディレクトリに再起動します。
セキュリティ編集は完全に間違っているわけではありませんが、現実的に最新のLinuxインストールは、スティックのバイナリ/スクリプトが実行されていない場合は問題ありません。
Joferが指摘したように、スティックの悪意のあるファームウェアに問題がある可能性があります。 USBドライブではなく、接続されているUSBデバイスのヒントがsyslogにあることを確認する必要があります(dmesgは不明です)。
これで、ドライブにキーロガーまたは悪意のあるsu / sudoがインストールされており、DEからrootアクセス権を取得しようとした(ユーザー環境でrootパスワードを入力)、ログが変更された可能性があります。デバイスにrootアクセスが許可されている場合は、再インストールする以外に安全を維持する方法はありません。