Имате ли притеснения, че компютърът ви с Linux може да бъде заразен със злонамерен софтуер? Били ли сте проверявали някога? Докато Linux системите са склонни да бъдат по-малко податливи на злонамерен софтуер, отколкото Windows, те все още могат да бъдат заразени. Много пъти те са по-малко очевидно компрометирани.

Има няколко чудесни инструмента с отворен код, които да ви помогнат да проверите дали вашата Linux система е била жертва на злонамерен софтуер. Докато нито един софтуер не е перфектен, тези три имат солидна репутация и може да се вярва, че ще открие най-известните заплахи.

1. ClamAV

ClamAV е стандартен анти-вирус и вероятно ще бъде най-познатият за вас. Всъщност има и Windows версия на ClamAV.

Инсталирайте ClamAV и ClamTK

ClamAV и графичния му преден край се опаковат отделно. Това е така, защото ClamAV може да бъде стартиран от командния ред без GUI, ако решите. Дори графичният интерфейс ClamTK е по-лесен за повечето хора. Следващото е как да го инсталирате.

За дистрибуция на Debian и Ubuntu:

 sudo apt инсталирате clamav clamtk

Можете също така да намерите clamav и clamtk в мениджъра на пакетите на дистрибуторите си, ако не използвате дистрибуция на базата на Ubuntu.

След като и двете програми са инсталирани, трябва да актуализирате вирусната база данни. За разлика от всичко останало с ClamAV, това трябва да се направи като корен или със sudo .

 sudo freshclam

Има шанс, че freshclam се управлява като демон. За да го стартирате ръчно, спрете демона със Systemd. След това можете да го пуснете нормално.

 sudo systemctl спира clamav-freshclam

Това ще отнеме известно време, така че просто нека ClamAV се грижи за нещата.

Стартирайте сканирането си

Преди да стартирате сканирането, кликнете върху бутона "Настройки" и отметнете "Сканиране на файлове, започващи с точка", "Сканиране на файлове, по-големи от 20 MB" и "Рекурсивно сканиране на директории".

Върнете се в главното меню и кликнете върху "Scan A Directory." Изберете директорията, която искате да проверите. Ако искате да сканирате целия компютър, изберете "Система за файлове". Може да се наложи да преинсталирате ClamTK от командния ред с sudo за да може той да работи.

След като сканирането завърши, ClamTK ще ви представи всички открити заплахи и ще ви позволи да изберете какво да правите с тях. Изтриването им е очевидно най-добро, но може да дестабилизира системата. Това стига до разсъдък за вас.

2. Chkrootkit

Следващото сканиране, което трябва да инсталирате, е Chkrootkit. Той сканира за тип злонамерен софтуер, специфичен за Unix-подобни системи като Linux и Mac - rootkit. Както подсказва името, целта на rootkits е да получи корен достъп на целевата система.

Chkrootkit сканира системните файлове за признаци на злонамерени промени и ги проверява в базата данни с известни rootkits.

Chkrootkit се предлага в повечето хранилища за разпространение. Инсталирайте го с вашия мениджър на пакети.

 sudo apt инсталирате chkrootkit

Проверка за коренчетата

Това е много лесно да тичам. Просто изпълнете командата като root или със sudo .

 sudo chkrootkit

Тя ще изтече списък с потенциални руткитове много бързо. Може да се спре за известно време, докато сканира файловете. Трябва да видите "нищо не е намерено" или "не е заразено" до всеки един.

Програмата не дава окончателен доклад, когато завърши, затова се върнете и проверете ръчно, че не са се появили резултати.

Можете също така да насочите програмата към grep и да потърсите INFECTED, но това няма да улови всичко.

Известни фалшиви позитиви

Има странна грешка с Chkrootkit, която съобщава за фалшива положителна за Linux / Ebury - операция Windigo. Това е отдавна известен бъг, причинен от въвеждането на знак -G в SSH. Има няколко ръчни теста, които можете да изпълните, за да се уверите, че това е фалшиво положително.

Първо, стартирайте следното като root.

 find / lib * -type f - име libns2.so

Не би трябвало да става нищо. След това проверете дали злонамереният софтуер не използва сокет Unix.

 netstat -nap | grep "@ proc / udevd"

Ако нито една от командите не покаже никакви резултати, системата е чиста.

Също така изглежда, че има доста нова фалшива положителна за tcpd на Ubuntu. Ако той върне положителен резултат върху вашата система, разучете допълнително, но имайте предвид, че резултатът може да е неправилен.

Също така може да срещнете записи за wted . Те могат да бъдат причинени от корупция или грешки при регистриране на системни катастрофи. Използвайте last да проверите дали времената се изравняват с рестартиране или срив. В тези случаи резултатите вероятно са били причинени от тези събития, а не от злонамерена дейност.

3. Rkhunter

Рхуунтър е още един инструмент за търсене на новобранци. Добре е да управлявате и двата Chkrootkit на вашата система, за да сте сигурни, че нищо не се е промъквало през пукнатините и не е проверявало фалшивите позитиви.

Отново, това трябва да е в хранилищата на вашата дистрибуция.

 sudo apt инсталирате rkhunter

Стартирайте сканирането си

Първо, актуализирайте базата данни на rkhunter.

 sudo rkhunter - актуализация

След това стартирайте сканирането си.

 sudo rkhunter - проверете

Програмата ще спре след всеки раздел. Вероятно ще видите някои предупреждения. Много възникват поради недостатъчно оптимални конфигурации. Когато сканирането приключи, тя ще ви каже да разгледате пълния си дневник за дейността на адрес /var/log/rkhunter.log . Можете да видите причината за всяко предупреждение там.

Тя също ви дава пълна резюме на резултатите от сканирането.

Заключителни мисли

Надяваме се, системата Ви да се оправи. Бъдете внимателни и проверете всички резултати, които получавате, преди да направите нещо драстично.

Ако нещо е легитимно погрешно, преценете вашите възможности. Ако имате rootkit, архивирайте файловете си и форматирайте това устройство. Наистина няма друг начин.

Дръжте тези програми актуализирани и сканирани редовно. Сигурността винаги се развива и заплахите идват и идват. От вас зависи да останете до дата и бдителни.