¿Cómo detectar y eliminar un troyano de Linux?

16

Recientemente (re) me topé con esto: el troyano de Linux pasa desapercibido durante casi un año (IRCd irreal)

Sí, sé que agregar PPA / software aleatorio de una fuente no confiable es pedir problemas (o peor). Nunca hago eso, pero muchos lo hacen (muchos blogs y tabloides de Linux promueven la adición de PPA para aplicaciones sofisticadas, sin advertir que puede dañar su sistema o, lo que es peor, comprometer su seguridad).

¿Cómo se puede detectar y eliminar un troyano o una aplicación / script no autorizado?

Sid
fuente
Publiqué eso (3 minutos antes de publicar aquí). Eliminaré uno de ellos si esto es una violación.
Sid
1
La mayoría de los PPA que se anuncian en los blogs están firmados. Significa que solo los mantenedores / desarrolladores de PPA pueden poner un paquete y firmarlo. Si, como en el ejemplo anterior, alguien piratea el servidor espejo e intenta modificar un archivo, su administrador de paquetes le dirá que tiene un problema con un paquete. Depende de usted aceptar la advertencia y no instalar las aplicaciones o no. Solo estoy aquí para corregir ligeramente su afirmación :-) su pregunta aún es pertinente.
Huygens el

Respuestas:

5

Siempre es un juego de gato y ratón con software de detección. Se crea nuevo malware, los escáneres se actualizan para detectarlo. Siempre hay un retraso entre los dos. Hay programas que usan heurística que observan qué está haciendo el software e intentan atrapar actividades no deseadas, pero en mi opinión no es una solución perfecta y utiliza recursos.

Mi consejo es simple: no instale software de fuentes en las que no confía, pero si es como yo y no puede evitar la tentación, póngalos en una máquina virtual (es decir, virtualbox) y juegue con él hasta que esté seguro no afectará su sistema ni hará cosas que no quería.

Una vez más, no es una solución perfecta, pero por ahora, una máquina virtual tiene la mejor oportunidad de aislar su máquina de no deseados.

Scott Reeves
fuente
1

La mayoría del software antimalware para Linux / Unix simplemente busca malware de Windows. Las ocurrencias del malware de Linux generalmente han sido muy limitadas, incluso en los casos en que las actualizaciones de seguridad son lentas o no llegan.

Básicamente, solo usa software en el que confía y actualiza diariamente, así es como se mantiene seguro.

Johanna Larsson
fuente
1

Otra respuesta decía: "Siempre es un juego de gato y ratón con software de detección".
Estoy en desacuerdo.

Esto es cierto para los enfoques que se basan en firmas o heurísticas para detectar malware.
Pero hay otra forma de detectar malware: verificar los productos conocidos :

  • Tripwire , AIDE , etc. pueden verificar archivos en el disco.

  • Second Look puede verificar el kernel y los procesos en ejecución.
    Second Look utiliza análisis forense de memoria para inspeccionar directamente el sistema operativo, los servicios activos y las aplicaciones.
    Compara el código en memoria con lo que ha publicado el proveedor de distribución de Linux. De esta manera, puede identificar inmediatamente modificaciones maliciosas realizadas por rootkits y puertas traseras, y programas no autorizados (troyanos, etc.).

(Divulgación: soy el desarrollador principal de Second Look).

Andrew Tappert
fuente
Second Look está disponible en el repositorio de software de Ubuntu?
Boris
0

Kaspersky y avg tienen soluciones que ofrecen, y McAfee tiene una para Red Hat que podría estar disponible en Ubuntu. avg está aquí: http://free.avg.com/us-en/download

Puede encontrar este artículo interesante: http://math-www.uni-paderborn.de/~axel/bliss/

Tengo la mentalidad de que si ha ejecutado algo como root que le preocupa más tarde, probablemente debería reinstalarlo. cualquier archivo que transfiera probablemente debería tener el bit ejecutable eliminado también 'chmod ugo -x'

Steve Tose
fuente
0

También puedes probar ClamAV desde el centro de software

antman1380
fuente
55
iirc ClamAV solo busca malware de Windows
Johanna Larsson
No, hay un montón de troyanos y un par de virus para Linux, aunque tienen dificultades para sobrevivir y propagarse. Pero de todos modos, Clamav puede detectarlos (bueno, a veces falla, pero ¿conoces un antivirus que pueda reclamar una detección 100% de virus / troyano de todos los conocidos de ellos?). Admite ELF32 y 64 (los formatos binarios de Linux), así como muchos archivos, etc.
Huygens