Как проверить вашу систему Linux на вирусы и руткиты

Как просканировать компьютер Linux на наличие вирусов и руткитов

Вы беспокоитесь о том, что ваш компьютер с Linux может заражен вредоносным ПО? Вы когда-нибудь это проверяли? Хотя системы Linux имеют тенденцию Менее уязвим для вредоносных программ По сравнению с Windows, он все еще уязвим для заражения. Различные вирусы. Часто Linux также менее уязвим для некоторых опасностей.

Как проверить компьютер с Linux на вирусы и руткиты

Есть несколько отличных инструментов с открытым исходным кодом, которые помогут вам проверить, не является ли ваша система Linux жертвой. Вредоносное ПО или не. Хотя ни одно приложение не является идеальным, эти три приложения имеют хорошую репутацию, и им можно доверять в обнаружении наиболее известных угроз.

1. Моллюск АВ

ClamAV - это приложение антивирус, вероятно, наиболее знакомое их применение. На самом деле существует версия ClamAV для Windows.

Установите ClamAV и ClamTK

ClamAV и GUI упаковываются отдельно. Это связано с тем, что ClamAV можно запускать из командной строки без графического интерфейса пользователя, если вы того пожелаете. Тем не менее, графический интерфейс по-прежнему остается самым простым в использовании для большинства людей. Вот как их установить.

Для дистрибутивов на основе Debian и Ubuntu:

sudo apt install clamav clamtk

Вы также можете найти ClamAV و Clamtk  В Диспетчер пакетов дистрибутива Если вы не используете базовый дистрибутив Ubuntu.

После установки обоих инструментов вам следует обновить вирусные базы данных. В отличие от всего, что связано с ClamAV, вы должны выполнить эту команду:

sudo freshclam

Есть шанс, что работает Freshclam как скрытый процесс. Чтобы запустить его вручную, вы должны отключить скрытый процесс с помощью systemctl. Затем вы можете запустить его в обычном режиме.

sudo systemctl stop clamav-freshclam

Это займет некоторое время, поэтому вы должны позволить ClamAV позаботиться обо всем.

Запустите сканирование

Перед запуском сканирования нажмите кнопку «настройкии снимите флажок с опцииСканировать файлы, начинающиеся с точки"и вариант"Сканировать файлы размером более 20 MB" , В добавление к "Рекурсивно сканировать каталоги. ».

Вернитесь в главное меню и нажмите «Сканировать каталог«. Выберите каталог, который хотите проверить. Если вы хотите просканировать весь компьютер, выберите "Файловая система." Возможно, вам потребуется перезагрузить ClamTK Из командной строки с Судо за его работу.

После завершения сканирования ClamTK представит вам все обнаруженные угрозы и позволит вам выбрать, что с ними делать. Ясно, что лучше всего об этом подумать, но это может дестабилизировать систему. Это ваше лучшее решение и то, что подходит вам.

2.Chkrootkit

Следующее приложение для сканирования, которое вы, возможно, захотите установить, - это Chkrootkit. Он сканирует тип вредоносного ПО, специфичного для Unix-систем, таких как Linux и macOS, - руткит. Как следует из названия, его цель - поиск файлов. Руткит Используется, чтобы помочь злоумышленникам сохранить доступ к системе, избегая обнаружения пользователем или пользовательскими инструментами.

Chkrootkit сканирует системные файлы на наличие признаков вредоносных модификаций и проверяет их с помощью базы данных Руткит известный.

Chkrootkit доступен в большинстве репозиториев различных дистрибутивов. Где он устанавливается через диспетчер пакетов:

sudo apt install chkrootkit

Проверить руткиты

С этим приложением очень легко работать. Вам просто нужно набрать команду chkrootkit или с Sudo.

sudo chkrootkit

Он очень быстро исчерпает список потенциальных руткитов. Он может остановиться на время, пока сканируются системные файлы. Вы должны убедиться, что «Не найдены"Или же"Не зараженРядом с каждой строкой.

Приложение не выдает окончательный отчет, когда он готов, поэтому вы вернетесь к нему и вручную проверите результаты.

Известные ложные срабатывания

Странная ошибка с Chkrootkit - это ложные срабатывания отчетов: Linux / Ebury - процесс Wendigo. Эта проблема известна давно с появлением тега -g в оболочке. Есть несколько ручных тестов, которые вы можете запустить, чтобы проверить ложные срабатывания.

Сначала запустите следующее:

find /lib* -type f -name libns2.so

Ничего не должно происходить. Затем убедитесь, что вредоносная программа не использует сокет домена Unix.

netstat -nap | grep "@/proc/udevd"

Если никакая команда не дает результатов, система чиста.

Также кажется, что в Ubuntu появилось довольно новое ложное срабатывание. Если в вашей системе не был получен положительный результат, продолжите расследование, но имейте в виду, что результат может быть неверным.

3. Рхюнтер

Rkhunter - еще одно приложение для поиска угроз. Хорошо просканировать систему на предмет всего, что делает Chkrootkit, чтобы убедиться, что ничего не вернулось через трещины, и проверить наличие ложных срабатываний.

Опять же, это приложение должно быть доступно в репозиториях вашего дистрибутива.

sudo apt install rkhunter

Запустите сканирование

Во-первых, вам нужно обновить базу данных для Рхюнтер.

sudo rkhunter --update

Затем запустите сканирование.

sudo rkhunter --check

Программа будет останавливаться после каждого раздела. Вы можете увидеть некоторые предупреждения. Многие возникают из-за неоптимальных конфигураций. Когда сканирование будет завершено, вам будет предложено просмотреть полный журнал активности в системе. /var/журнал/rkhunter.log. Здесь вы можете увидеть причину каждого предупреждения.

Он также предоставляет вам полную сводку результатов сканирования.

заключительные мысли

Мы надеемся превратить вашу систему в чистая система. Будьте осторожны и проверяйте все полученные результаты, прежде чем предпринимать какие-либо радикальные меры.

Если что-то действительно не так, взвесьте свои варианты. Если у вас есть руткит, сделайте резервную копию файлов и отформатируйте диск. Другого пути действительно нет.

Вам следует обновлять эти программы и регулярно проверять системные файлы. Безопасность постоянно развивается, а угрозы приходят и уходят. Вы должны оставаться в курсе событий и быть бдительными. узнай меня Лучший бесплатный антивирус для Linux.

Перейти к верхней кнопке