web-dev-qa-db-ja.com

Linuxトロイの木馬を検出して削除する方法

最近、私はこれに(再)つまずきました: Linuxトロイの木馬はほぼ1年間気付かれない (Unreal IRCd)

はい、信頼できないソースからランダムなPPA /ソフトウェアを追加すると、トラブル(またはそれ以上)を要求することを知っています。私はそれを決してしませんが、多くのことを行います(多くのLinuxブログやタブロイドは、システムを壊したり、さらに悪いことにセキュリティを損なう可能性があることを警告せずに、派手なアプリにPPAを追加することを促進しています)。

トロイの木馬または不正なアプリケーション/スクリプトを検出して削除するにはどうすればよいですか?

16
Sid

常に検出ソフトウェアを備えた猫とマウスのゲームです。新しいマルウェアが作成され、スキャナーが更新されて検出されます。 2つの間には常に遅れがあります。ヒューリスティックを使用して、ソフトウェアの動作を監視し、不要なアクティビティをキャッチしようとするプログラムがありますが、私の意見では、これは完全なソリューションではなく、リソースを使用します。

私のアドバイスは簡単です。信頼できないソースからソフトウェアをインストールしないでください。しかし、あなたが私のようで、誘惑を避けられない場合は、仮想マシン(つまり、virtualbox)に入れて、自信があるまで遊んでくださいそれはあなたのシステムを困らせたり、望まないことをしません。

繰り返しになりますが、完璧なソリューションではありませんが、現時点では、仮想マシンがマシンを不要なものから隔離する可能性が最も高くなります。

5
Scott Reeves

Linux/Unix用のほとんどのマルウェア対策ソフトウェアは、Windowsマルウェアを検索するだけです。 Linuxマルウェアの発生は、通常、セキュリティの更新が遅いか、来ない場合でも、非常に限られています。

基本的に、信頼するソフトウェアのみを使用し、毎日更新します。これが安全な方法です。

1
Johanna Larsson

別の応答は言った:「それは常に検出ソフトウェアを備えた猫とマウスのゲームです。」
同意しません。

これは、マルウェアの検出に署名またはヒューリスティックに依存するアプローチに当てはまります。
しかし、マルウェアを検出する別の方法があります:既知の商品を検証する

  • TripwireAIDEなどは、ディスク上のファイルを検証できます。

  • Second Look は、実行中のカーネルとプロセスを検証できます。
    Second Lookはメモリフォレンジックを使用して、オペレーティングシステム、アクティブなサービス、およびアプリケーションを直接検査します。
    メモリ内のコードをLinuxディストリビューションベンダーがリリースしたものと比較します。このようにして、ルートキットやバックドア、不正なプログラム(トロイの木馬など)によって行われた悪意のある変更を即座に特定できます。

(開示:Second Lookの主任開発者です。)

1
Andrew Tappert

Kasperskyとavgはどちらも提供するソリューションを備えており、McAfeeはUbuntuで利用可能なRed Hat向けのソリューションを提供しています。 avgはこちら: http://free.avg.com/us-en/download

この記事はおもしろいかもしれません: http://math-www.uni-paderborn.de/~axel/bliss/

私は、後で気になると思う何かをルートとして実行した場合、おそらく再インストールする必要があるという考え方を持っています。転送するファイルでは、おそらく実行可能ビットも削除する必要があります。「chmod ugo -x」

0
Steve Tose

ソフトウェアセンターからClamAVを試すこともできます

0
antman1380