Linux Truva Atı Nasıl Tespit Edilir ve Kaldırılır?

Son zamanlarda (yeniden) tökezledi: Linux Trojan Neredeyse Bir Yıl Fark Edilmedi (Unreal IRCd)

Evet, güvenilmeyen bir kaynaktan rastgele PPA / yazılım eklemenin sorun (veya daha kötüsü) istediğini biliyorum. Bunu asla yapmıyorum, ancak birçoğu yapıyor (birçok Linux blogu ve tabloid, süslü uygulamalar için PPA eklemeyi teşvik ediyor, sisteminizi kırabileceğini veya daha da kötüsü güvenliğinizi tehlikeye atabileceğini bildirmeden).

Truva atı veya haydut uygulaması / komut dosyası nasıl algılanabilir ve kaldırılabilir?

Her zaman algılama yazılımı ile kedi ve fare oyunu. Yeni kötü amaçlı yazılımlar oluşturulur, tarayıcılar bunu tespit etmek için güncellenir. İkisi arasında her zaman bir gecikme olur. Hangi yazılımın ne yaptığını izleyen ve istenmeyen etkinlikleri yakalamaya çalışan sezgisel tarama kullanan programlar var ama bence mükemmel bir çözüm değil ve kaynakları kullanıyor.

Tavsiyem basit, güvenmediğiniz kaynaklardan yazılım yüklemeyin, ancak benden hoşlanıyorsanız ve ayartmadan kaçınamıyorsanız, onları sanal bir makineye (yani sanal kutu) koyun ve kendinize güvenene kadar onunla oynayın sisteminizi canlandırmaz veya istemediğiniz şeyleri yapmaz.

Yine, mükemmel bir çözüm değil, şimdilik sanal bir makine, makinenizi istenmeyenlerden izole etme şansına sahiptir.

Linux / Unix için kötü amaçlı yazılımdan koruma yazılımlarının çoğu yalnızca Windows kötü amaçlı yazılımlarını arar. Güvenlik güncelleştirmelerinin yavaş olduğu veya gelmediği durumlarda bile, Linux kötü amaçlı yazılımlarının ortaya çıkması genellikle çok sınırlıdır.

Temel olarak, yalnızca her gün güvendiğiniz ve güncellediğiniz yazılımı kullanırsınız, bu şekilde güvende kalırsınız.

Başka bir yanıt: "Her zaman algılama yazılımı ile kedi ve fare oyunu."
Katılmıyorum.

Bu, kötü amaçlı yazılımları tespit etmek için imzalara veya buluşsal yöntemlere dayanan yaklaşımlar için geçerlidir.
Ancak kötü amaçlı yazılımı tespit etmenin başka bir yolu daha vardır: bilinen ürünleri doğrulayın :

• Tripwire , AIDE vb. Diskteki dosyaları doğrulayabilir.
  

• İkinci Bakış çalışan çekirdeği ve işlemleri doğrulayabilir.
  İkinci Bakış, işletim sistemini, etkin hizmetleri ve uygulamaları doğrudan denetlemek için bellek adli tıp kullanır.
  Bellekteki kodu Linux dağıtım satıcısı tarafından yayınlanan kodla karşılaştırır. Bu şekilde, rootkit'ler ve arka kapılar ve yetkisiz programlar (truva atları, vb.) Tarafından yapılan kötü amaçlı değişiklikleri hemen tespit edebilir.

(Açıklama: İkinci Bakış'ın baş geliştiricisiyim.)

Kaspersky ve avg'nin her ikisinin de sunduğu çözümleri var ve McAfee'nin Ubuntu'da mevcut olabilecek Red Hat için bir tane var. avg burada: http://free.avg.com/us-en/download

Bu makaleyi ilginç bulabilirsiniz: http://math-www.uni-paderborn.de/~axel/bliss/

Daha sonra endişe duyacağınız bir şey kök olarak çalıştırırsanız, muhtemelen yeniden kurmanız gerektiğini düşünüyoruz. aktardığınız tüm dosyalar yürütülebilir bitin yanı sıra 'chmod ugo -x'

ClamAV'ı yazılım merkezinden de deneyebilirsiniz