Bagaimana cara mendeteksi dan menghapus trojan Linux?

16

Saya baru-baru ini (kembali) menemukan ini: Linux Trojan Tidak Diketahui Selama Hampir Setahun (IRCd Tidak Nyata)

Ya, saya tahu bahwa menambahkan beberapa PPA / perangkat lunak acak dari sumber yang tidak terpercaya meminta masalah (atau lebih buruk). Saya tidak pernah melakukan itu, tetapi banyak yang melakukannya (banyak blog dan tabloid Linux mempromosikan penambahan PPA untuk aplikasi mewah, tanpa peringatan bahwa itu dapat merusak sistem Anda atau lebih buruk lagi, membahayakan keamanan Anda.)

Bagaimana kuda trojan atau aplikasi / skrip jahat dapat dideteksi dan dihapus?

Sid
sumber
Saya memposting itu (3 menit sebelum memposting di sini). Saya akan menghapus salah satunya jika ini merupakan pelanggaran.
Sid
1
Sebagian besar PPA yang diiklankan oleh blog ditandatangani. Ini berarti bahwa hanya pengelola / pengembang AKP yang dapat menempatkan paket dan menandatanganinya. Jika seperti contoh di atas seseorang meretas server mirror dan mencoba memodifikasi file, manajer paket Anda akan memberi tahu Anda bahwa Anda memiliki sesuatu yang salah dengan satu paket. Terserah Anda untuk menerima peringatan dan tidak menginstal aplikasi atau tidak. Saya di sini hanya untuk sedikit memperbaiki pernyataan Anda :-) pertanyaan Anda masih relevan.
Huygens

Jawaban:

5

Itu selalu permainan kucing dan tikus dengan perangkat lunak pendeteksi. Malware baru dibuat, pemindai diperbarui untuk mendeteksinya. Selalu ada jeda di antara keduanya. Ada beberapa program yang menggunakan heuristik yang mengamati apa yang dilakukan perangkat lunak dan berupaya menangkap aktivitas yang tidak diinginkan, tetapi menurut saya itu bukan solusi yang sempurna dan menggunakan sumber daya.

Saran saya sederhana, jangan menginstal perangkat lunak dari sumber yang tidak Anda percayai tetapi jika Anda seperti saya dan tidak dapat menghindari godaan, masukkan mereka ke dalam mesin virtual (mis. Virtualbox) dan mainkan sampai Anda yakin itu tidak akan merusak sistem Anda atau melakukan hal-hal yang tidak Anda inginkan.

Sekali lagi, bukan solusi yang sempurna tetapi untuk saat ini, mesin virtual memiliki peluang terbaik untuk mengisolasi mesin Anda dari yang tidak diinginkan.

Scott Reeves
sumber
1

Sebagian besar perangkat lunak anti-malware untuk Linux / Unix hanya mencari malware Windows. Kejadian malware Linux biasanya sangat terbatas, bahkan dalam kasus di mana pembaruan keamanan lambat atau tidak datang.

Pada dasarnya, Anda hanya menggunakan perangkat lunak yang Anda percayai dan perbarui setiap hari, itulah cara Anda tetap aman.

Johanna Larsson
sumber
1

Tanggapan lain mengatakan: "Selalu permainan kucing dan tikus dengan perangkat lunak pendeteksi."
Saya tidak setuju.

Ini berlaku untuk pendekatan yang mengandalkan tanda tangan atau heuristik untuk mendeteksi malware.
Tetapi ada cara lain untuk mendeteksi malware: memverifikasi barang yang dikenal :

  • Tripwire , AIDE , dll. Dapat memverifikasi file pada disk.

  • Second Look dapat memverifikasi kernel dan proses yang sedang berjalan.
    Second Look menggunakan forensik memori untuk secara langsung memeriksa sistem operasi, layanan aktif, dan aplikasi.
    Ini membandingkan kode dalam memori dengan apa yang telah dirilis oleh vendor distribusi Linux. Dengan cara ini ia dapat langsung menunjukkan modifikasi berbahaya yang dilakukan oleh rootkit dan backdoors, dan program yang tidak sah (trojan, dll.).

(Pengungkapan: Saya adalah pengembang utama dari Tampilan Kedua.)

Andrew Tappert
sumber
Tampilan Kedua tersedia di repositori perangkat lunak Ubuntu?
Boris
0

Kaspersky dan avg keduanya memiliki solusi yang mereka tawarkan, dan McAfee memiliki satu untuk Red Hat yang mungkin tersedia di Ubuntu. rata-rata ada di sini: http://free.avg.com/us-en/download

Anda mungkin menemukan artikel ini menarik: http://math-www.uni-paderborn.de/~axel/bliss/

Saya memiliki pola pikir bahwa jika Anda menjalankan sesuatu sebagai root yang Anda khawatirkan nanti, Anda mungkin harus menginstal ulang. file apa pun yang Anda transfer mungkin harus menghapus bit yang dapat dieksekusi juga 'chmod ugo -x'

Steve Tose
sumber
0

Anda juga dapat mencoba ClamAV dari pusat perangkat lunak

antman1380
sumber
5
iirc ClamAV hanya mencari malware Windows
Johanna Larsson
Tidak ada banyak trojan dan beberapa virus untuk Linux di luar sana, meskipun mereka kesulitan bertahan dan menyebar. Tapi bagaimanapun, Clamav dapat mendeteksi mereka (yah kadang-kadang gagal, tetapi apakah Anda tahu anti-virus yang dapat mengklaim 100% virus / deteksi trojan dari semua yang diketahui dari mereka?). Ini mendukung ELF32, dan 64 (format biner linux), serta banyak arsip, dll.
Huygens