Как обнаружить и удалить трояна Linux?
Я недавно (повторно) наткнулся на это: Троян Linux остается незамеченным почти год (Unreal IRCd)
Да, я знаю, что добавление некоторого случайного PPA / программного обеспечения от ненадежных источник напрашивается на неприятности (или хуже). Я никогда этого не делаю, но многие делают (многие блоги и таблоиды Linux продвигают добавление PPA для модных приложений, без предупреждения, что это может сломать вашу систему или, что еще хуже, поставить под угрозу вашу безопасность.)
Как троянский конь или мошенническое приложение / скрипт будет обнаружено и удалено?
5 ответов
Это всегда игра в кошки-мышки с программным обеспечением для обнаружения. Создано новое вредоносное ПО, обновлены сканеры для его обнаружения. Между ними всегда есть отставание. Есть программы, которые используют эвристику, которая следит за тем, что делает программное обеспечение, и пытается уловить нежелательную активность, но, на мой взгляд, это не идеальное решение и использует ресурсы.
Мой совет прост: не устанавливайте программное обеспечение из источников, которым вы не доверяете, но если вы похожи на меня и не можете избежать соблазна, поместите их в виртуальную машину (то есть virtualbox) и играйте с ней до тех пор, пока вы Вы уверены, что это не будет мешать вашей системе или делать то, что вы не хотели.
Опять же, не идеальное решение, но на данный момент виртуальная машина имеет наилучшие шансы изолировать вашу машину от нежелательных.
Большинство антивирусных программ для Linux / Unix просто ищет вредоносные программы для Windows. Количество вредоносных программ для Linux обычно очень ограничено, даже в тех случаях, когда обновления безопасности происходят медленно или не приходят
.По сути, вы используете только те программы, которым доверяете, и которые вы обновляете ежедневно, поэтому вы в безопасности.
У Kaspersky и avg есть решения, которые они предлагают, а у McAfee есть решение для Red Hat, которое может быть доступно в Ubuntu. avg здесь: http://free.avg.com/us-en/download
Вы можете найти эту статью интересной: http: //math-www.uni -paderborn.de/~axel/bliss/
У меня сложилось мнение, что если вы запустили что-либо от имени root, которое вас беспокоит, вам, вероятно, следует переустановить. любые файлы, которые вы передаете, вероятно, должны иметь удаленный исполняемый бит, а также 'chmod ugo -x'
Другой ответ сказал: «Это всегда игра в кошки-мышки с программным обеспечением для обнаружения».
Я не согласен.
Это справедливо для подходов, использующих сигнатуры или эвристику для обнаружения вредоносных программ.
Но есть и другой способ обнаружения вредоносных программ: проверить известные товары :
-
Tripwire , AIDE [ 1118] и т. Д. Могут проверять файлы на диске.
-
Second Look может проверить работающее ядро и процессы.
Second Look использует криминалистику памяти для непосредственной проверки операционной системы, активных служб и приложений.
Он сравнивает код в памяти с тем, что было выпущено поставщиком дистрибутива Linux. Таким образом, он может немедленно определить вредоносные изменения, сделанные руткитами и бэкдорами, а также неавторизованными программами (троянами и т. Д.).
(Раскрытие: я ведущий разработчик Second Look.)
Вы также можете попробовать ClamAV из центра программного обеспечения