จะตรวจจับและลบโทรจัน Linux ได้อย่างไร


16

เมื่อเร็ว ๆ นี้ฉันได้พบกับสิ่งนี้: Linux Trojan ไม่มีการเปิดเผยเป็นเวลาเกือบหนึ่งปี (Unreal IRCd)

ใช่ฉันรู้ว่าการเพิ่ม PPA / ซอฟต์แวร์แบบสุ่มจากแหล่งที่ไม่น่าเชื่อถือกำลังขอให้มีปัญหา (หรือแย่กว่านั้น) ฉันไม่เคยทำเช่นนั้น แต่หลายคนทำ (บล็อก Linux และแท็บลอยด์จำนวนมากส่งเสริมการเพิ่ม PPA สำหรับแอปแฟนซีโดยไม่มีการเตือนว่ามันอาจทำให้ระบบของคุณแย่ลงหรือแย่ลงกว่าเดิม

ม้าโทรจันหรือแอปพลิเคชัน / สคริปต์สามารถตรวจพบและลบออกได้อย่างไร


ซ้ำกันทุกประการ
msw

ฉันโพสต์นั้น (3 นาทีก่อนโพสต์ที่นี่) ฉันจะลบหนึ่งในนั้นถ้าเป็นการละเมิด
ซิด

1
PPA ส่วนใหญ่ที่ลงโฆษณาโดยบล็อกนั้นมีการเซ็นชื่อ หมายความว่ามีเพียงผู้ดูแล / นักพัฒนา PPA เท่านั้นที่สามารถใส่แพ็คเกจและลงนามได้ หากชอบตัวอย่างด้านบนมีคนแฮ็กเซิร์ฟเวอร์มิเรอร์และพยายามแก้ไขไฟล์ผู้จัดการแพ็กเกจของคุณจะบอกคุณว่าคุณมีบางอย่างผิดปกติกับแพคเกจเดียว มันขึ้นอยู่กับคุณแล้วที่จะยอมรับคำเตือนและไม่ติดตั้งแอพหรือไม่ ฉันเพิ่งมาที่นี่เพื่อแก้ไขข้อความของคุณ :-) คำถามของคุณยังคงเกี่ยวข้อง
Huygens

คำตอบ:


5

มันเป็นเกมของแมวและเมาส์พร้อมซอฟต์แวร์ตรวจจับ มีการสร้างมัลแวร์ใหม่สแกนเนอร์ได้รับการอัปเดตเพื่อตรวจจับ มีความล่าช้าระหว่างทั้งสองเสมอ มีโปรแกรมที่ใช้ฮิวริสติกส์คอยดูว่าซอฟต์แวร์กำลังทำอะไรอยู่และพยายามจับกิจกรรมที่ไม่ต้องการ แต่ในความคิดของฉันมันไม่ได้เป็นโซลูชั่นที่สมบูรณ์แบบและใช้ทรัพยากร

คำแนะนำของฉันนั้นง่ายไม่ต้องติดตั้งซอฟต์แวร์จากแหล่งที่คุณไม่ไว้ใจ แต่ถ้าคุณเป็นเหมือนฉันและไม่สามารถหลีกเลี่ยงสิ่งล่อใจได้ให้วางไว้ในเครื่องเสมือน (เช่น Virtualbox) และเล่นกับมันจนกว่าคุณจะมั่นใจ มันจะไม่รบกวนระบบของคุณหรือทำสิ่งที่คุณไม่ต้องการ

ไม่ใช่โซลูชันที่สมบูรณ์แบบ แต่ในตอนนี้เครื่องเสมือนมีโอกาสที่ดีที่สุดในการแยกเครื่องของคุณออกจากสิ่งที่ไม่พึงประสงค์


1

ซอฟต์แวร์ป้องกันมัลแวร์ส่วนใหญ่สำหรับ Linux / Unix เพียงค้นหามัลแวร์ Windows มัลแวร์ลีนุกซ์มักจะเกิดขึ้นอย่าง จำกัด แม้ในกรณีที่การอัพเดทความปลอดภัยช้าหรือไม่มา

โดยทั่วไปคุณใช้ซอฟต์แวร์ที่คุณไว้วางใจและอัพเดททุกวันนั่นคือวิธีที่คุณปลอดภัย


1

อีกคำตอบหนึ่งกล่าวว่า: "มันเป็นเกมของแมวและเมาส์พร้อมซอฟต์แวร์ตรวจจับ"
ฉันไม่เห็นด้วย.

นี่เป็นความจริงของวิธีการที่ใช้ลายเซ็นต์หรือการวิเคราะห์พฤติกรรมในการตรวจจับมัลแวร์
แต่มีวิธีอื่นในการตรวจจับมัลแวร์: ตรวจสอบสินค้าที่รู้จัก :

  • Tripwire , AIDEเป็นต้นสามารถตรวจสอบไฟล์ในดิสก์ได้

  • รูปลักษณ์ที่สองสามารถตรวจสอบเคอร์เนลและกระบวนการทำงานได้
    Second Look ใช้นิติวิทยาศาสตร์หน่วยความจำเพื่อตรวจสอบระบบปฏิบัติการบริการที่ใช้งานและแอพพลิเคชั่นโดยตรง
    มันเปรียบเทียบรหัสในหน่วยความจำกับสิ่งที่เผยแพร่โดยผู้จำหน่ายกระจาย Linux ด้วยวิธีนี้สามารถระบุการแก้ไขที่เป็นอันตรายที่ทำโดยรูทคิทและแบ็คดอร์และโปรแกรมที่ไม่ได้รับอนุญาต (โทรจัน ฯลฯ )

(การเปิดเผย: ฉันเป็นผู้พัฒนาหลักของ Second Look)


Second Lookมีอยู่ในที่เก็บซอฟต์แวร์ Ubuntu หรือไม่?
Boris

0

Kaspersky และ avg มีโซลูชันที่พวกเขานำเสนอและ McAfee มีหนึ่งสำหรับ Red Hat ที่อาจมีอยู่ใน Ubuntu avg อยู่ที่นี่: http://free.avg.com/us-en/download

คุณอาจพบว่าบทความนี้น่าสนใจ: http://math-www.uni-paderborn.de/~axel/bliss/

ฉันมีความคิดว่าหากคุณทำงานอะไรในฐานะรูทที่คุณรู้สึกกังวลในภายหลังคุณควรติดตั้งใหม่ ไฟล์ใด ๆ ที่คุณถ่ายโอนอาจมีการลบบิตที่เรียกทำงานได้เช่นกัน 'chmod ugo -x'


0

คุณสามารถลองใช้ ClamAV ได้จากศูนย์ซอฟต์แวร์


5
iirc ClamAV ค้นหาเฉพาะมัลแวร์ของ Windows
Johanna Larsson

ไม่มีโทรจันจำนวนหนึ่งและไวรัสอีกสองตัวสำหรับ Linux ออกจากที่นั่นแม้ว่าพวกเขาจะรอดชีวิตและแพร่กระจายได้ยาก แต่อย่างไรก็ตาม Clamav สามารถตรวจจับพวกเขาได้ (บางครั้งก็ล้มเหลว แต่คุณรู้หรือไม่ว่ามีโปรแกรมป้องกันไวรัสที่สามารถตรวจจับไวรัส / โทรจันได้ 100% ซึ่งเป็นที่รู้จักทั้งหมด รองรับ ELF32 และ 64 (รูปแบบไบนารีของ linux) รวมถึงที่เก็บถาวรอื่น ๆ อีกมากมาย
Huygens
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.