Làm thế nào để phát hiện và loại bỏ một trojan Linux?

Gần đây tôi đã tình cờ phát hiện ra điều này: Linux Trojan đã không được chú ý trong gần một năm (IRCd không thực)

Có, tôi biết rằng việc thêm một số PPA / phần mềm ngẫu nhiên từ một nguồn không đáng tin cậy sẽ gây rắc rối (hoặc tệ hơn). Tôi không bao giờ làm điều đó, nhưng nhiều người làm (nhiều blog và báo lá cải của Linux quảng bá việc thêm PPA cho các ứng dụng ưa thích, mà không cảnh báo rằng nó có thể phá vỡ hệ thống của bạn hoặc tệ hơn nữa, làm tổn hại đến bảo mật của bạn.)

Làm thế nào một trojan ngựa hoặc một ứng dụng / kịch bản giả mạo có thể được phát hiện và loại bỏ?

Đây luôn là trò chơi của mèo và chuột với phần mềm phát hiện. Phần mềm độc hại mới được tạo, máy quét được cập nhật để phát hiện nó. Luôn có một độ trễ giữa hai. Có những chương trình sử dụng phương pháp phỏng đoán xem phần mềm đang làm gì và cố gắng bắt các hoạt động không mong muốn nhưng theo tôi đó không phải là một giải pháp hoàn hảo và sử dụng tài nguyên.

Lời khuyên của tôi rất đơn giản, đừng cài đặt phần mềm từ các nguồn bạn không tin tưởng nhưng nếu bạn giống tôi và không thể tránh được sự cám dỗ, hãy đặt chúng vào một máy ảo (ví dụ như hộp ảo) và chơi với nó cho đến khi bạn tự tin nó sẽ không làm hỏng hệ thống của bạn hoặc làm những điều bạn không muốn.

Một lần nữa, không phải là một giải pháp hoàn hảo nhưng hiện tại, một máy ảo có cơ hội tốt nhất để cách ly máy của bạn khỏi những điều không mong muốn.

Hầu hết các phần mềm chống phần mềm độc hại cho Linux / Unix chỉ đơn giản là tìm kiếm phần mềm độc hại Windows. Sự xuất hiện của phần mềm độc hại Linux thường rất hạn chế, ngay cả trong trường hợp các bản cập nhật bảo mật bị chậm hoặc không đến.

Về cơ bản, bạn chỉ sử dụng phần mềm mà bạn tin tưởng và cập nhật hàng ngày, đó là cách bạn giữ an toàn.

Một phản hồi khác cho biết: "Đây luôn là trò chơi của mèo và chuột với phần mềm phát hiện."
Tôi không đồng ý.

Điều này đúng với các phương pháp dựa vào chữ ký hoặc chẩn đoán để phát hiện phần mềm độc hại.
Nhưng có một cách khác để phát hiện phần mềm độc hại: xác minh hàng hóa đã biết :

• Tripwire , AIDE , vv có thể xác minh các tệp trên đĩa.
  

• Cái nhìn thứ hai có thể xác minh kernel đang chạy và các tiến trình.
  Cái nhìn thứ hai sử dụng pháp y bộ nhớ để kiểm tra trực tiếp hệ điều hành, các dịch vụ đang hoạt động và các ứng dụng.
  Nó so sánh mã trong bộ nhớ với những gì đã được phát hành bởi nhà cung cấp phân phối Linux. Bằng cách này, nó có thể xác định ngay lập tức các sửa đổi độc hại được thực hiện bởi rootkit và backreen và các chương trình trái phép (trojan, v.v.).

(Tiết lộ: Tôi là nhà phát triển chính của Cái nhìn thứ hai.)

Cả Kaspersky và avg đều có giải pháp họ cung cấp và McAfee có một giải pháp cho Red Hat có thể có trên Ubuntu. avg có ở đây: http://free.avg.com/us-en/d Download

Bạn có thể thấy bài viết này thú vị: http://math-www.uni-paderborn.de/~axel/bliss/

Tôi có suy nghĩ rằng nếu bạn đã chạy bất cứ thứ gì như root mà bạn cảm thấy lo lắng về sau, có lẽ bạn nên cài đặt lại. bất kỳ tệp nào bạn chuyển cũng có thể bị xóa bit thực thi cũng như 'chmod ugo -x'

Bạn cũng có thể thử ClamAV từ trung tâm phần mềm