Jak wykryć i usunąć trojana Linux?

Niedawno (ponownie) natknąłem się na to: trojan Linux pozostaje niezauważony przez prawie rok (Unreal IRCd)

Tak, wiem, że dodanie losowego PPA / oprogramowania z niezaufanego źródła wymaga problemów (lub gorzej). Nigdy tego nie robię, ale wielu tak robi (wiele blogów i tabloidów na Linuksie promuje dodawanie PPA do fantazyjnych aplikacji, bez ostrzeżenia, że ​​może to uszkodzić system lub gorzej, narazić twoje bezpieczeństwo).

Jak można wykryć i usunąć konia trojańskiego lub nieuczciwą aplikację / skrypt?

To zawsze gra w kotka i myszkę z oprogramowaniem do wykrywania. Tworzone jest nowe złośliwe oprogramowanie, skanery są aktualizowane w celu wykrycia. Zawsze jest opóźnienie między nimi. Istnieją programy wykorzystujące heurystykę, które obserwują, co robi oprogramowanie i próbują wykryć niepożądane działania, ale moim zdaniem nie jest to idealne rozwiązanie i wykorzystuje zasoby.

Moja rada jest prosta, nie instaluj oprogramowania ze źródeł, którym nie ufasz, ale jeśli jesteś podobny do mnie i nie możesz uniknąć pokusy, umieść je na maszynie wirtualnej (tj. Virtualbox) i baw się nią, dopóki nie będziesz pewny to nie rozwiąże twojego systemu ani nie zrobi rzeczy, których nie chciałeś.

Ponownie, nie jest to idealne rozwiązanie, ale na razie maszyna wirtualna ma największą szansę na odizolowanie maszyny od niepożądanych.

Większość programów chroniących przed złośliwym oprogramowaniem dla systemu Linux / Unix po prostu wyszukuje złośliwe oprogramowanie dla systemu Windows. Występowanie złośliwego oprogramowania dla systemu Linux jest zwykle bardzo ograniczone, nawet w przypadkach, gdy aktualizacje zabezpieczeń są wolne lub nie nadchodzą.

Zasadniczo korzystasz tylko z oprogramowania, któremu ufasz i które aktualizujesz codziennie, w ten sposób zapewniasz sobie bezpieczeństwo.

Inna odpowiedź brzmiała: „To zawsze gra w kotka i myszkę z oprogramowaniem wykrywającym”.
Nie zgadzam się.

Dotyczy to podejść opartych na sygnaturach lub heurystyce do wykrywania złośliwego oprogramowania.
Istnieje jednak inny sposób wykrywania złośliwego oprogramowania: weryfikacja znanych towarów :

• Tripwire , AIDE itp. Mogą weryfikować pliki na dysku.
  

• Second Look może zweryfikować działające jądro i procesy.
  Second Look wykorzystuje forensics pamięci do bezpośredniej kontroli systemu operacyjnego, aktywnych usług i aplikacji.
  Porównuje kod pamięci z wydanym przez dostawcę dystrybucji Linuksa. W ten sposób może natychmiast zidentyfikować złośliwe modyfikacje wprowadzone przez rootkity i backdoory oraz nieautoryzowane programy (trojany itp.).

(Ujawnienie: Jestem głównym programistą Second Look.)

Zarówno Kaspersky, jak i AVG mają rozwiązania, które oferują, a McAfee ma jedno z Red Hat, które może być dostępne na Ubuntu. śr. jest tutaj: http://free.avg.com/us-en/download

Ten artykuł może Cię zainteresować: http://math-www.uni-paderborn.de/~axel/bliss/

Mam sposób myślenia, że ​​jeśli uruchamiasz coś jako root, o co później się martwisz, prawdopodobnie powinieneś ponownie zainstalować. wszelkie pliki, które przesyłasz, powinny być prawdopodobnie usunięte również z pliku wykonywalnego „chmod ugo -x”

Możesz także wypróbować ClamAV z centrum oprogramowania