¿Cómo detectar y eliminar un troyano de Linux?

Recientemente (re) me topé con esto: el troyano de Linux pasa desapercibido durante casi un año (IRCd irreal)

Sí, sé que agregar PPA / software aleatorio de una fuente no confiable es pedir problemas (o peor). Nunca hago eso, pero muchos lo hacen (muchos blogs y tabloides de Linux promueven la adición de PPA para aplicaciones sofisticadas, sin advertir que puede dañar su sistema o, lo que es peor, comprometer su seguridad).

¿Cómo se puede detectar y eliminar un troyano o una aplicación / script no autorizado?

Siempre es un juego de gato y ratón con software de detección. Se crea nuevo malware, los escáneres se actualizan para detectarlo. Siempre hay un retraso entre los dos. Hay programas que usan heurística que observan qué está haciendo el software e intentan atrapar actividades no deseadas, pero en mi opinión no es una solución perfecta y utiliza recursos.

Mi consejo es simple: no instale software de fuentes en las que no confía, pero si es como yo y no puede evitar la tentación, póngalos en una máquina virtual (es decir, virtualbox) y juegue con él hasta que esté seguro no afectará su sistema ni hará cosas que no quería.

Una vez más, no es una solución perfecta, pero por ahora, una máquina virtual tiene la mejor oportunidad de aislar su máquina de no deseados.

La mayoría del software antimalware para Linux / Unix simplemente busca malware de Windows. Las ocurrencias del malware de Linux generalmente han sido muy limitadas, incluso en los casos en que las actualizaciones de seguridad son lentas o no llegan.

Básicamente, solo usa software en el que confía y actualiza diariamente, así es como se mantiene seguro.

Otra respuesta decía: "Siempre es un juego de gato y ratón con software de detección".
Estoy en desacuerdo.

Esto es cierto para los enfoques que se basan en firmas o heurísticas para detectar malware.
Pero hay otra forma de detectar malware: verificar los productos conocidos :

• Tripwire , AIDE , etc. pueden verificar archivos en el disco.
  

• Second Look puede verificar el kernel y los procesos en ejecución.
  Second Look utiliza análisis forense de memoria para inspeccionar directamente el sistema operativo, los servicios activos y las aplicaciones.
  Compara el código en memoria con lo que ha publicado el proveedor de distribución de Linux. De esta manera, puede identificar inmediatamente modificaciones maliciosas realizadas por rootkits y puertas traseras, y programas no autorizados (troyanos, etc.).

(Divulgación: soy el desarrollador principal de Second Look).

Kaspersky y avg tienen soluciones que ofrecen, y McAfee tiene una para Red Hat que podría estar disponible en Ubuntu. avg está aquí: http://free.avg.com/us-en/download

Puede encontrar este artículo interesante: http://math-www.uni-paderborn.de/~axel/bliss/

Tengo la mentalidad de que si ha ejecutado algo como root que le preocupa más tarde, probablemente debería reinstalarlo. cualquier archivo que transfiera probablemente debería tener el bit ejecutable eliminado también 'chmod ugo -x'

También puedes probar ClamAV desde el centro de software