Πώς να σαρώσετε τον υπολογιστή σας Linux για ιούς και rootkits
Ανησυχείτε μήπως ο υπολογιστής σας Linux μπορεί να μολυνθεί από κακόβουλο λογισμικό; Έχετε ελέγξει ποτέ; Ενώ τα συστήματα Linux τείνουν να είναι λιγότερο ευαίσθητα σε κακόβουλα προγράμματα από τα Windows, μπορούν ακόμα να μολυνθούν. Πολλές φορές είναι λιγότερο προφανώς συμβιβασμένοι.
Υπάρχει μια χούφτα άριστων εργαλείων ανοιχτού κώδικα που θα σας βοηθήσουν να ελέγξετε αν το σύστημά σας Linux έχει πέσει θύμα κακόβουλου λογισμικού. Ενώ κανένα λογισμικό δεν είναι τέλειο, αυτά τα τρία έχουν μια σταθερή φήμη και μπορούν να εμπιστευθούν για να βρουν τις πιο γνωστές απειλές.
1. ClamAV
Το ClamAV είναι ένας τυπικός αντι-ιός και ίσως είναι το πιο γνωστό σε σας. Υπάρχει στην πραγματικότητα και μια έκδοση των ClamAV των Windows.
Εγκαταστήστε ClamAV και ClamTK
Το ClamAV και το γραφικό του εμπρόσθιο τμήμα συσκευάζονται χωριστά. Αυτό συμβαίνει επειδή το ClamAV μπορεί να τρέξει από τη γραμμή εντολών χωρίς το GUI, αν το επιλέξετε. Ακόμη ακόμα, η γραφική διεπαφή ClamTK είναι ευκολότερη για τους περισσότερους ανθρώπους. Ακολουθεί ο τρόπος εγκατάστασης.
Για τη διανομή Debian και Ubuntu:
sudo apt εγκαταστήσετε clamav clamtk
Μπορείτε επίσης να βρείτε clamav
και clamtk
στο διαχειριστή πακέτων της διανομής σας εάν δεν χρησιμοποιείτε διανομές βασισμένες στο Ubuntu.
Αφού εγκατασταθούν και τα δύο προγράμματα, πρέπει να ενημερώσετε τη βάση δεδομένων ιών. Σε αντίθεση με όλα τα άλλα με το ClamAV, αυτό πρέπει να γίνει ως root ή με sudo
.
sudo freshclam
Υπάρχει μια πιθανότητα να τρέχει το freshclam
σαν δαίμονα. Για να το εκτελέσετε χειροκίνητα, σταματήστε τον δαίμονα με το Systemd. Στη συνέχεια, μπορείτε να το εκτελέσετε κανονικά.
sudo systemctl στάση clamav-freshclam
Θα χρειαστεί λίγος χρόνος, οπότε απλά αφήστε το ClamAV να φροντίσει τα πράγματα.
Εκτελέστε τη σάρωση
Πριν εκτελέσετε τη σάρωση, κάντε κλικ στο κουμπί "Ρυθμίσεις" και επιλέξτε "Σάρωση αρχείων που αρχίζουν με τελεία", "Σάρωση αρχείων μεγαλύτερα από 20 MB" και "Σάρωση καταλόγων αναδρομικά".
Επιστρέψτε στο κύριο μενού και κάντε κλικ στο "Scan A Directory." Επιλέξτε τον κατάλογο που θέλετε να ελέγξετε. Εάν θέλετε να σαρώσετε ολόκληρο τον υπολογιστή, επιλέξτε "Σύστημα αρχείων". Ίσως χρειαστεί να ξαναρχίσετε το ClamTK από τη γραμμή εντολών με το sudo
για να λειτουργήσει αυτό.
Μετά την ολοκλήρωση της σάρωσης, το ClamTK θα σας παρουσιάσει όλες τις απειλές που ανακαλύφθηκαν και θα σας επιτρέψει να επιλέξετε τι να κάνετε μαζί τους. Η διαγραφή τους είναι προφανώς καλύτερη, αλλά μπορεί να αποσταθεροποιήσει το σύστημα. Αυτό έρχεται σε μια κρίση για σας.
2. Chkrootkit
Η επόμενη σάρωση για εγκατάσταση είναι το Chkrootkit. Σαρώνει για έναν τύπο κακόβουλου λογισμικού ειδικά για συστήματα που μοιάζουν με Unix όπως Linux και Mac - το rootkit. Όπως υποδηλώνει το όνομα, ο στόχος των rootkits είναι να αποκτήσουν ριζική πρόσβαση στο σύστημα στόχου.
Το Chkrootkit σαρώνει αρχεία συστήματος για σημάδια κακόβουλων αλλαγών και τα ελέγχει σε μια βάση δεδομένων με γνωστά rootkits.
Το Chkrootkit διατίθεται στις περισσότερες αποθήκες διανομής. Εγκαταστήστε το με το διαχειριστή πακέτων.
sudo apt να εγκαταστήσετε το chkrootkit
Ελέγξτε για Rootkits
Αυτό είναι πολύ εύκολο να τρέξει. Απλά εκτελέστε την εντολή ως root ή με sudo
.
sudo chkrootkit
Θα τρέξει κάτω μια λίστα με τα πιθανά rootkits πολύ γρήγορα. Μπορεί να σταματήσει για κάποιο χρονικό διάστημα σε μερικές φορές ενώ σαρώνει μέσω αρχείων. Θα πρέπει να δείτε "τίποτα δεν βρέθηκε" ή "δεν μολύνθηκε" δίπλα σε κάθε ένα.
Το πρόγραμμα δεν δίνει τελική αναφορά όταν τελειώσει, οπότε γυρίστε πίσω και ελέγξτε με μη αυτόματο τρόπο ότι δεν βρέθηκαν αποτελέσματα.
Μπορείτε επίσης να διοχετεύσετε το πρόγραμμα σε grep
και να ψάξετε για INFECTED
, αλλά αυτό δεν θα τα πιάσει όλα.
Γνωστά ψεύτικα θετικά
Υπάρχει ένα παράξενο σφάλμα με το Chkrootkit που αναφέρει ένα ψευδώς θετικό για το Linux / Ebury - Operation Windigo. Αυτό είναι ένα πολύ γνωστό σφάλμα που προκαλείται από την εισαγωγή μιας σημαίας -G
σε SSH. Υπάρχουν μερικές χειροκίνητες δοκιμές που μπορείτε να εκτελέσετε για να βεβαιωθείτε ότι είναι ψευδώς θετική.
Πρώτα, εκτελέστε τα παρακάτω ως root.
find / lib * -type f - όνομα libns2.so
Δεν πρέπει να φανεί τίποτα. Στη συνέχεια, ελέγξτε ότι το κακόβουλο λογισμικό δεν χρησιμοποιεί υποδοχή Unix.
netstat -nap | grep "@ / proc / udevd"
Εάν καμία από τις εντολές δεν εμφανίσει κανένα αποτέλεσμα, το σύστημα είναι καθαρό.
Φαίνεται επίσης ότι υπάρχει ένα αρκετά νέο ψευδές θετικό για το tcpd
στο Ubuntu. Αν επιστρέψει ένα θετικό αποτέλεσμα στο σύστημά σας, διερευνήστε περαιτέρω, αλλά να γνωρίζετε ότι το αποτέλεσμα μπορεί να είναι εσφαλμένο.
Μπορείτε επίσης να συναντήσετε καταχωρήσεις για wted
. Αυτά μπορεί να προκληθούν από σφάλματα καταστροφής ή καταγραφής σε σφάλματα συστήματος. Χρησιμοποιήστε το last
για να ελέγξετε εάν οι χρόνοι ευθυγραμμίζονται με τις επανεκκινήσεις ή τις διακοπές. Σε αυτές τις περιπτώσεις, τα αποτελέσματα προκλήθηκαν πιθανώς από αυτά τα γεγονότα και όχι από κακόβουλη δραστηριότητα.
3. Rkhunter
Ο Rkhunter είναι ένα ακόμα εργαλείο για την αναζήτηση των αρχαίων. Είναι καλό να εκτελέσετε και το Chkrootkit στο σύστημά σας, για να διασφαλίσετε ότι τίποτα δεν γλίστρησε μέσα από τις ρωγμές και να επαληθεύσει τα ψεύτικα θετικά.
Και πάλι, αυτό θα πρέπει να βρίσκεται στα αποθετήρια της διανομής σας.
sudo apt install rkhunter
Εκτελέστε τη σάρωση
Πρώτον, ενημερώστε τη βάση δεδομένων του rkhunter.
sudo rkhunter - ενημέρωση
Στη συνέχεια, εκτελέστε τη σάρωση.
sudo rkhunter - έλεγχος
Το πρόγραμμα θα σταματήσει μετά από κάθε ενότητα. Πιθανότατα θα δείτε μερικές προειδοποιήσεις. Πολλά προκύπτουν εξαιτίας υπο-βέλτιστων διαμορφώσεων. Όταν ολοκληρωθεί η σάρωση, θα σας πει να ρίξετε μια ματιά στο πλήρες αρχείο καταγραφής δραστηριότητας του στο /var/log/rkhunter.log
. Μπορείτε να δείτε τον λόγο για κάθε προειδοποίηση εκεί.
Σας δίνει επίσης μια πλήρη σύνοψη των αποτελεσμάτων της σάρωσης.
Κλείσιμο Σκέψεις
Ας ελπίσουμε ότι το σύστημά σας θα εμφανιστεί καθαρό. Να είστε προσεκτικοί και να ελέγχετε τα αποτελέσματα που λαμβάνετε πριν κάνετε οτιδήποτε δραστικό.
Αν κάτι είναι νόμιμα λάθος, ζυγίστε τις επιλογές σας. Αν έχετε ένα rootkit, δημιουργήστε αντίγραφα ασφαλείας των αρχείων σας και διαμορφώστε το δίσκο. Δεν υπάρχει άλλος τρόπος.
Κρατήστε αυτά τα προγράμματα ενημερωμένα και σάρωση τακτικά. Η ασφάλεια εξελίσσεται πάντα και οι απειλές έρχονται και πηγαίνουν. Εναπόκειται σε εσάς να μείνετε ενημερωμένοι και επαγρυπνοί.