Linuxトロイの木馬を検出して削除する方法


16

私は最近これに(再)つまずきました:Linuxトロイの木馬はほぼ1年間見過ごされています(Unreal IRCd)

はい、信頼できないソースからランダムなPPA /ソフトウェアを追加すると、トラブル(またはそれ以上)を要求することを知っています。私はそれを決してしませんが、多くのことを行います(多くのLinuxブログやタブロイドは、システムを壊したり、さらに悪いことにセキュリティを損なう可能性があることを警告せずに、派手なアプリにPPAを追加することを促進しています)。

トロイの木馬または不正なアプリケーション/スクリプトを検出して削除するにはどうすればよいですか?



私はそれを投稿しました(ここに投稿する3分前)。これが違反である場合、それらの1つを削除します。
2010年

1
ブログで宣伝されているほとんどのPPAは署名されています。つまり、PPAメンテナー/開発者のみがパッケージを作成して署名できます。上記の例のように、誰かがミラーサーバーをハッキングしてファイルを変更しようとすると、パッケージマネージャーは、1つのパッケージに何か問題があることを通知します。警告を受け入れ、アプリをインストールするかどうかはあなた次第です。私はあなたの声明をわずかに修正するためにここにいます:-)あなたの質問はまだ適切です。
ホイヘンス

回答:


5

常に検出ソフトウェアを備えた猫とマウスのゲームです。新しいマルウェアが作成され、スキャナーが更新されて検出されます。2つの間には常に遅れがあります。ヒューリスティックを使用して、ソフトウェアの動作を監視し、不要なアクティビティをキャッチしようとするプログラムがありますが、私の意見では、これは完全なソリューションではなく、リソースを使用します。

私のアドバイスは簡単です。信頼できないソースからソフトウェアをインストールしないでください。しかし、あなたが私のようで、誘惑を避けられない場合は、仮想マシン(つまり、virtualbox)に入れて、自信があるまで遊んでくださいそれはあなたのシステムを困らせたり、望まないことをしません。

繰り返しになりますが、完璧なソリューションではありませんが、現時点では、仮想マシンがマシンを不要なものから隔離する可能性が最も高くなります。


1

Linux / Unix用のほとんどのマルウェア対策ソフトウェアは、Windowsマルウェアを検索するだけです。Linuxマルウェアの発生は、通常、セキュリティの更新が遅い場合や来ない場合でも、非常に限られています。

基本的に、信頼するソフトウェアのみを使用し、毎日更新します。これが安全な方法です。


1

別の回答は、「これは常に検出ソフトウェアを備えた猫とマウスのゲームです。」
同意しません。

これは、マルウェアの検出に署名またはヒューリスティックに依存するアプローチに当てはまります。
しかし、マルウェアを検出する別の方法があります:既知の商品を確認する

  • TripwireAIDEなどは、ディスク上のファイルを検証できます。

  • Second Lookは、実行中のカーネルとプロセスを検証できます。
    Second Lookは、メモリフォレンジックを使用して、オペレーティングシステム、アクティブなサービス、およびアプリケーションを直接検査します。
    メモリ内のコードをLinuxディストリビューションベンダーがリリースしたものと比較します。このようにして、ルートキットやバックドア、不正なプログラム(トロイの木馬など)によって行われた悪意のある変更を即座に特定できます。

(開示:Second Lookの主任開発者です。)


Second LookはUbuntuソフトウェアリポジトリで利用できますか?
ボリス

0

Kasperskyとavgはどちらも提供するソリューションを備えており、McAfeeはUbuntuで利用可能なRed Hat向けのソリューションを提供しています。avgはこちら:http : //free.avg.com/us-en/download

この記事は面白いと思うかもしれません:http : //math-www.uni-paderborn.de/~axel/bliss/

私は、後で気になると思う何かをルートとして実行した場合、おそらく再インストールする必要があるという考え方を持っています。転送するファイルでは、おそらく実行可能ビットも削除する必要があります。「chmod ugo -x」


0

ソフトウェアセンターからClamAVを試すこともできます


5
iirc ClamAVはWindowsマルウェアのみを検索する
ジョアンナラーソン

いいえ、たくさんのトロイの木馬とLinux向けのウイルスがいくつかありますが、それらは生き残り、拡散するのに苦労しています。しかし、とにかく、Clamavはそれらを検出できます(場合によっては失敗しますが、既知のすべてのウイルス/トロイの木馬の100%検出を要求できるアンチウイルスを知っていますか?)。ELF32、64(Linuxバイナリ形式)、および多くのアーカイブなどをサポートしています。
Huygens
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.