Como detectar e remover um trojan do Linux?

16

Recentemente (re) deparei com isso: Linux Trojan passa despercebido Por quase um ano (Unreal IRCd)

Sim, sei que adicionar algum software / PPA aleatório de uma fonte não confiável está causando problemas (ou pior). Eu nunca faço isso, mas muitos fazem isso (muitos blogs e tabloides sobre Linux promovem a adição de PPAs para aplicativos sofisticados, sem avisar que ele pode quebrar seu sistema ou, pior ainda, comprometer sua segurança.)

Como um cavalo de tróia ou um aplicativo / script desonesto pode ser detectado e removido?

    
por Sid 14.11.2010 / 21:42

5 respostas

5

É sempre um jogo de gato e rato com software de detecção. Novo malware é criado, os scanners são atualizados para detectá-lo. Há sempre um atraso entre os dois. Existem programas que usam heurísticas que observam o que o software está fazendo e tentam capturar atividades indesejadas, mas, na minha opinião, não é uma solução perfeita e usa recursos.

Meu conselho é simples, não instale software de fontes que você não confia, mas se você for como eu e não puder evitar a tentação, coloque-o em uma máquina virtual (ou seja, virtualbox) e brinque com ele até está confiante de que não vai aborrecer seu sistema ou fazer coisas que você não queria.

Mais uma vez, não é uma solução perfeita, mas, por enquanto, uma máquina virtual tem a melhor chance de isolar sua máquina de indesejáveis.

    
por Scott Reeves 19.11.2010 / 01:45
1

A maioria dos softwares anti-malware para Linux / Unix simplesmente procura por malware do Windows. As ocorrências de malware do Linux geralmente são muito limitadas, mesmo nos casos em que as atualizações de segurança são lentas ou não acontecem.

Basicamente, você só usa softwares nos quais confia e atualiza diariamente. É assim que você se mantém seguro.

    
por Johanna Larsson 15.11.2010 / 15:25
1

Outra resposta disse: "É sempre um jogo de gato e rato com software de detecção."
Eu discordo.

Isso se aplica a abordagens que dependem de assinaturas ou heurísticas para detectar malware.
Mas há outra maneira de detectar malware: verificar os produtos conhecidos :

  • O Tripwire , o AIDE etc. podem verificar arquivos no disco.

  • O Segundo exame pode verificar o kernel e os processos em execução.
    O Second Look usa a análise forense de memória para inspecionar diretamente o sistema operacional, os serviços ativos e os aplicativos.
    Ele compara o código na memória com o que foi lançado pelo fornecedor de distribuição do Linux. Desta forma, pode identificar imediatamente as modificações maliciosas feitas por rootkits e backdoors e programas não autorizados (trojans, etc.).

(Divulgação: Eu sou o desenvolvedor líder do Second Look.)

    
por Andrew Tappert 24.07.2012 / 20:04
0

O Kaspersky e o avg têm soluções que oferecem, e a McAfee tem um para a Red Hat que pode estar disponível no Ubuntu. avg está aqui: link

Você pode achar este artigo interessante: link

Tenho a mentalidade de que, se você executar algo como root com o qual se sinta preocupado mais tarde, provavelmente deverá reinstalar. qualquer arquivo que você transferir provavelmente deve ter o bit executável removido também 'chmod ugo -x'

    
por Steve Tose 15.11.2010 / 12:39
0

Você também pode experimentar o ClamAV no centro de software

    
por antman1380 15.11.2010 / 15:20