Como detectar e remover um Trojan Linux?

16

Recentemente, (re) deparei com isso: o Trojan Linux passa despercebido por quase um ano (Unreal IRCd)

Sim, eu sei que adicionar algum PPA / software aleatório de uma fonte não confiável está causando problemas (ou pior). Eu nunca faço isso, mas muitos fazem (muitos blogs e tabloides do Linux promovem a adição de PPAs para aplicativos sofisticados, sem aviso de que isso pode danificar seu sistema ou, pior ainda, comprometer sua segurança.)

Como um cavalo de Tróia ou um aplicativo / script não autorizado pode ser detectado e removido?

Sid
fonte
Eu postei isso (3 minutos antes de postar aqui). Vou remover um deles se isso for uma violação.
Sid
11
A maioria dos PPAs anunciados por blogs é assinada. Isso significa que apenas os mantenedores / desenvolvedores do PPA podem colocar um pacote e assiná-lo. Se, como no exemplo acima, alguém invadir o servidor espelho e tentar modificar um arquivo, seu gerente de pacotes informará que há algo errado com um pacote. Cabe a você aceitar o aviso e não instalar os aplicativos ou não. Só estou aqui para corrigir um pouco sua afirmação :-) sua pergunta ainda é pertinente.
Huygens

Respostas:

5

É sempre um jogo de gato e rato com software de detecção. Novo malware é criado, os scanners são atualizados para detectá-lo. Sempre há um atraso entre os dois. Existem programas que usam heurísticas que observam o que o software está fazendo e tentam capturar atividades indesejadas, mas, na minha opinião, não é uma solução perfeita e utiliza recursos.

Meu conselho é simples: não instale software de fontes em que você não confia, mas se você é como eu e não pode evitar a tentação, coloque-o em uma máquina virtual (por exemplo, caixa virtual) e brinque com ele até estar confiante isso não atrapalha seu sistema ou faz coisas que você não queria.

Novamente, não é uma solução perfeita, mas, por enquanto, uma máquina virtual tem a melhor chance de isolar sua máquina de indesejados.

Scott Reeves
fonte
1

A maioria dos softwares anti-malware para Linux / Unix simplesmente procura por malware do Windows. As ocorrências de malware no Linux geralmente são muito limitadas, mesmo nos casos em que as atualizações de segurança são lentas ou não chegam.

Basicamente, você usa apenas o software em que confia e atualiza diariamente, é assim que fica seguro.

Johanna Larsson
fonte
1

Outra resposta disse: "É sempre um jogo de gato e rato com software de detecção".
Discordo.

Isso vale para abordagens que dependem de assinaturas ou heurísticas para detectar malware.
Mas há outra maneira de detectar malware: verificar mercadorias conhecidas :

  • Tripwire , AIDE , etc. podem verificar arquivos no disco.

  • O Second Look pode verificar o kernel e os processos em execução.
    O Second Look usa análise forense de memória para inspecionar diretamente o sistema operacional, serviços ativos e aplicativos.
    Ele compara o código na memória com o que foi lançado pelo fornecedor de distribuição do Linux. Dessa maneira, ele pode identificar imediatamente modificações maliciosas feitas por rootkits e backdoors e programas não autorizados (cavalos de Troia, etc.).

(Divulgação: Eu sou o desenvolvedor principal do Second Look.)

Andrew Tappert
fonte
Second Look está disponível no repositório de software Ubuntu?
Boris
0

Kaspersky e avg têm soluções que oferecem, e a McAfee possui uma para a Red Hat que pode estar disponível no Ubuntu. avg está aqui: http://free.avg.com/us-en/download

Você pode achar este artigo interessante: http://math-www.uni-paderborn.de/~axel/bliss/

Tenho a mentalidade de que, se você executou algo como raiz com o qual se preocupa mais tarde, provavelmente deve reinstalar. todos os arquivos transferidos provavelmente devem ter o bit executável removido, bem como 'chmod ugo -x'

Steve Tose
fonte
0

Você também pode experimentar o ClamAV no centro de software

antman1380
fonte
5
apenas IIRC ClamAV pesquisas para Windows malwares
Johanna Larsson
Não, existem muitos trojan e alguns vírus para Linux por aí, embora eles tenham dificuldade em sobreviver e se espalhar. Mas de qualquer maneira, o Clamav pode detectá-los (às vezes falha, mas você conhece um antivírus que pode reivindicar 100% de detecção de vírus / trojan de todos os conhecidos?). Ele suporta ELF32, e 64 (os formatos linux binários), bem como muitos arquivos, etc.
Huygens