So scannen Sie Ihren Linux-Computer nach Viren und Rootkits
Befürchten Sie, dass Ihr Linux-Computer mit Malware infiziert ist? Hast du jemals nachgesehen? Während Linux-Systeme weniger anfällig für Malware sind als Windows, können sie dennoch infiziert sein. Viele Male sind sie auch weniger offensichtlich kompromittiert.
Es gibt eine Handvoll exzellenter Open-Source-Tools, mit denen Sie überprüfen können, ob Ihr Linux-System Opfer von Malware geworden ist. Obwohl keine Software perfekt ist, haben diese drei einen soliden Ruf und können vertraut werden, um die meisten bekannten Bedrohungen zu finden.
1. ClamAV
ClamAV ist ein Standard-Antivirus und wird Ihnen wahrscheinlich am vertrautesten sein. Es gibt auch eine Windows-Version von ClamAV.
Installieren Sie ClamAV und ClamTK
ClamAV und sein grafisches Frontend sind separat verpackt. Das liegt daran, dass ClamAV von der Kommandozeile ohne die GUI ausgeführt werden kann, wenn Sie dies wünschen. Trotzdem ist die grafische Oberfläche ClamTK für die meisten Leute einfacher. Im Folgenden wird beschrieben, wie Sie es installieren.
Für Debian- und Ubuntu-basierte Distributionen:
sudo apt installiert clamav cluttk
Sie können clamav
und clamtk
im Paketmanager Ihrer Distribution finden, wenn Sie keine Ubuntu-basierte Distribution verwenden.
Nachdem beide Programme installiert sind, müssen Sie ihre Virendatenbank aktualisieren. Anders als alles bei ClamAV muss das als root oder mit sudo
.
sudo freshclam
Es besteht die Möglichkeit, dass freshclam
als Daemon ausgeführt wird. Um es manuell auszuführen, stoppen Sie den Daemon mit Systemd. Dann können Sie es normal ausführen.
sudo systemctl halte clamav-freshclam an
Es wird einige Zeit dauern, also lass ClamAV sich um alles kümmern.
Führen Sie Ihren Scan aus
Bevor Sie Ihren Scan ausführen, klicken Sie auf die Schaltfläche "Einstellungen" und markieren Sie "Dateien beginnend mit einem Punkt scannen", "Dateien größer als 20 MB scannen" und "Verzeichnisse rekursiv durchsuchen".
Gehen Sie zurück zum Hauptmenü und klicken Sie auf "Ein Verzeichnis durchsuchen". Wählen Sie das Verzeichnis, das Sie überprüfen möchten. Wenn Sie den gesamten Computer scannen möchten, wählen Sie "Dateisystem". Möglicherweise müssen Sie ClamTK über die Befehlszeile mit sudo
ausführen, damit dies funktioniert.
Nach Abschluss des Scans wird ClamTK Ihnen alle erkannten Bedrohungen präsentieren und Ihnen die Möglichkeit geben, auszuwählen, was mit ihnen geschehen soll. Sie zu löschen ist offensichtlich am besten, kann aber das System destabilisieren. Dies kommt zu einem Urteilsspruch für Sie.
2. Chkrootkit
Der nächste zu installierende Scan ist Chkrootkit. Es wird nach einer Art von Malware gesucht, die für Unix-ähnliche Systeme wie Linux und Mac - das Rootkit - spezifisch ist. Wie der Name schon sagt, ist das Ziel von Rootkits, Root-Zugriff auf das Zielsystem zu erlangen.
Chkrootkit durchsucht Systemdateien nach Anzeichen für böswillige Änderungen und überprüft sie anhand einer Datenbank bekannter Rootkits.
Chkrootkit ist in den meisten Distributionsdepots verfügbar. Installieren Sie es mit Ihrem Paketmanager.
sudo apt installiert chkrootkit
Überprüfen Sie auf Rootkits
Dieser ist sehr einfach zu laufen. Führen Sie den Befehl einfach als root oder mit sudo
.
sudo chkrootkit
Es wird sehr schnell eine Liste potentieller Rootkits erstellt. Es kann einige Zeit anhalten, während es Dateien durchsucht. Sie sollten "Nichts gefunden" oder "Nicht infiziert" neben jedem sehen.
Das Programm gibt keinen Abschlussbericht ab, wenn es fertig ist. Gehen Sie also zurück und überprüfen Sie manuell, dass keine Ergebnisse angezeigt werden.
Sie können das Programm auch in grep
INFECTED
und nach INFECTED
suchen, aber das fängt nicht alles ein.
Bekannte falsche Positive
Es gibt einen merkwürdigen Fehler mit Chkrootkit, der ein falsches Positiv für Linux / Ebury meldet - Operation Windigo. Dies ist ein seit langem bekannter Fehler, der durch die Einführung einer -G
Flagge in SSH verursacht wurde. Es gibt ein paar manuelle Tests, die Sie ausführen können, um zu verifizieren, dass es sich um ein falsches Positiv handelt.
Führen Sie zunächst Folgendes als root aus.
find / lib * -type f -name libns2.so
Es sollte nichts auffallen. Überprüfen Sie als Nächstes, ob die Malware keinen Unix-Socket verwendet.
netstat -nap | grep "@ / proc / udevd"
Wenn keiner der Befehle Ergebnisse liefert, ist das System sauber.
Es scheint auch ein ziemlich neues falsches Positiv für tcpd
auf Ubuntu zu sein. Wenn es auf Ihrem System ein positives Ergebnis liefert, untersuchen Sie es weiter, aber beachten Sie, dass das Ergebnis möglicherweise falsch ist.
Sie können auch Einträge für wted
. Diese können durch Korruption oder Protokollierungsfehler bei Systemabstürzen verursacht werden. Benutze last
, um zu sehen, ob die Zeiten mit Neustarts oder Abstürzen übereinstimmen. In diesen Fällen wurden die Ergebnisse wahrscheinlich durch diese Ereignisse und nicht durch böswillige Aktivitäten verursacht.
3. Rkhunter
Rkhunter ist ein weiteres Werkzeug, um Rookits zu suchen. Es ist gut, beide Chkrootkit auf Ihrem System laufen zu lassen, um sicherzustellen, dass nichts durch die Risse rutscht und falsche Positive überprüft.
Auch dies sollte in den Repositorys Ihrer Distribution sein.
sudo apt installieren rkhunter
Führen Sie Ihren Scan aus
Aktualisieren Sie zunächst die Datenbank von rkhunter.
sudo rkhunter --update
Führen Sie dann Ihren Scan aus.
sudo rkhunter --check
Das Programm stoppt nach jedem Abschnitt. Sie werden wahrscheinlich einige Warnungen sehen. Viele entstehen aufgrund von suboptimalen Konfigurationen. Wenn der Scan abgeschlossen ist, werden Sie aufgefordert, sich das vollständige Aktivitätsprotokoll unter /var/log/rkhunter.log
. Sie können den Grund für jede Warnung dort sehen.
Sie erhalten außerdem eine vollständige Zusammenfassung der Scan-Ergebnisse.
Schlussgedanken
Hoffentlich ist Ihr System sauber geworden. Seien Sie vorsichtig und überprüfen Sie die Ergebnisse, die Sie erhalten, bevor Sie etwas drastisches tun.
Wenn etwas zu Unrecht ist, wägen Sie Ihre Optionen ab. Wenn Sie ein Rootkit haben, sichern Sie Ihre Dateien und formatieren Sie das Laufwerk. Es gibt wirklich keinen anderen Weg.
Halten Sie diese Programme auf dem neuesten Stand und scannen Sie sie regelmäßig. Sicherheit entwickelt sich ständig und Bedrohungen kommen und gehen. Es liegt an dir, up-to-date und wachsam zu bleiben.