Befürchten Sie, dass Ihr Linux-Computer mit Malware infiziert ist? Hast du jemals nachgesehen? Während Linux-Systeme weniger anfällig für Malware sind als Windows, können sie dennoch infiziert sein. Viele Male sind sie auch weniger offensichtlich kompromittiert.

Es gibt eine Handvoll exzellenter Open-Source-Tools, mit denen Sie überprüfen können, ob Ihr Linux-System Opfer von Malware geworden ist. Obwohl keine Software perfekt ist, haben diese drei einen soliden Ruf und können vertraut werden, um die meisten bekannten Bedrohungen zu finden.

1. ClamAV

ClamAV ist ein Standard-Antivirus und wird Ihnen wahrscheinlich am vertrautesten sein. Es gibt auch eine Windows-Version von ClamAV.

Installieren Sie ClamAV und ClamTK

ClamAV und sein grafisches Frontend sind separat verpackt. Das liegt daran, dass ClamAV von der Kommandozeile ohne die GUI ausgeführt werden kann, wenn Sie dies wünschen. Trotzdem ist die grafische Oberfläche ClamTK für die meisten Leute einfacher. Im Folgenden wird beschrieben, wie Sie es installieren.

Für Debian- und Ubuntu-basierte Distributionen:

 sudo apt installiert clamav cluttk

Sie können clamav und clamtk im Paketmanager Ihrer Distribution finden, wenn Sie keine Ubuntu-basierte Distribution verwenden.

Nachdem beide Programme installiert sind, müssen Sie ihre Virendatenbank aktualisieren. Anders als alles bei ClamAV muss das als root oder mit sudo .

 sudo freshclam

Es besteht die Möglichkeit, dass freshclam als Daemon ausgeführt wird. Um es manuell auszuführen, stoppen Sie den Daemon mit Systemd. Dann können Sie es normal ausführen.

 sudo systemctl halte clamav-freshclam an

Es wird einige Zeit dauern, also lass ClamAV sich um alles kümmern.

Führen Sie Ihren Scan aus

Bevor Sie Ihren Scan ausführen, klicken Sie auf die Schaltfläche "Einstellungen" und markieren Sie "Dateien beginnend mit einem Punkt scannen", "Dateien größer als 20 MB scannen" und "Verzeichnisse rekursiv durchsuchen".

Gehen Sie zurück zum Hauptmenü und klicken Sie auf "Ein Verzeichnis durchsuchen". Wählen Sie das Verzeichnis, das Sie überprüfen möchten. Wenn Sie den gesamten Computer scannen möchten, wählen Sie "Dateisystem". Möglicherweise müssen Sie ClamTK über die Befehlszeile mit sudo ausführen, damit dies funktioniert.

Nach Abschluss des Scans wird ClamTK Ihnen alle erkannten Bedrohungen präsentieren und Ihnen die Möglichkeit geben, auszuwählen, was mit ihnen geschehen soll. Sie zu löschen ist offensichtlich am besten, kann aber das System destabilisieren. Dies kommt zu einem Urteilsspruch für Sie.

2. Chkrootkit

Der nächste zu installierende Scan ist Chkrootkit. Es wird nach einer Art von Malware gesucht, die für Unix-ähnliche Systeme wie Linux und Mac - das Rootkit - spezifisch ist. Wie der Name schon sagt, ist das Ziel von Rootkits, Root-Zugriff auf das Zielsystem zu erlangen.

Chkrootkit durchsucht Systemdateien nach Anzeichen für böswillige Änderungen und überprüft sie anhand einer Datenbank bekannter Rootkits.

Chkrootkit ist in den meisten Distributionsdepots verfügbar. Installieren Sie es mit Ihrem Paketmanager.

 sudo apt installiert chkrootkit

Überprüfen Sie auf Rootkits

Dieser ist sehr einfach zu laufen. Führen Sie den Befehl einfach als root oder mit sudo .

 sudo chkrootkit

Es wird sehr schnell eine Liste potentieller Rootkits erstellt. Es kann einige Zeit anhalten, während es Dateien durchsucht. Sie sollten "Nichts gefunden" oder "Nicht infiziert" neben jedem sehen.

Das Programm gibt keinen Abschlussbericht ab, wenn es fertig ist. Gehen Sie also zurück und überprüfen Sie manuell, dass keine Ergebnisse angezeigt werden.

Sie können das Programm auch in grep INFECTED und nach INFECTED suchen, aber das fängt nicht alles ein.

Bekannte falsche Positive

Es gibt einen merkwürdigen Fehler mit Chkrootkit, der ein falsches Positiv für Linux / Ebury meldet - Operation Windigo. Dies ist ein seit langem bekannter Fehler, der durch die Einführung einer -G Flagge in SSH verursacht wurde. Es gibt ein paar manuelle Tests, die Sie ausführen können, um zu verifizieren, dass es sich um ein falsches Positiv handelt.

Führen Sie zunächst Folgendes als root aus.

 find / lib * -type f -name libns2.so

Es sollte nichts auffallen. Überprüfen Sie als Nächstes, ob die Malware keinen Unix-Socket verwendet.

 netstat -nap | grep "@ / proc / udevd"

Wenn keiner der Befehle Ergebnisse liefert, ist das System sauber.

Es scheint auch ein ziemlich neues falsches Positiv für tcpd auf Ubuntu zu sein. Wenn es auf Ihrem System ein positives Ergebnis liefert, untersuchen Sie es weiter, aber beachten Sie, dass das Ergebnis möglicherweise falsch ist.

Sie können auch Einträge für wted . Diese können durch Korruption oder Protokollierungsfehler bei Systemabstürzen verursacht werden. Benutze last, um zu sehen, ob die Zeiten mit Neustarts oder Abstürzen übereinstimmen. In diesen Fällen wurden die Ergebnisse wahrscheinlich durch diese Ereignisse und nicht durch böswillige Aktivitäten verursacht.

3. Rkhunter

Rkhunter ist ein weiteres Werkzeug, um Rookits zu suchen. Es ist gut, beide Chkrootkit auf Ihrem System laufen zu lassen, um sicherzustellen, dass nichts durch die Risse rutscht und falsche Positive überprüft.

Auch dies sollte in den Repositorys Ihrer Distribution sein.

 sudo apt installieren rkhunter

Führen Sie Ihren Scan aus

Aktualisieren Sie zunächst die Datenbank von rkhunter.

 sudo rkhunter --update

Führen Sie dann Ihren Scan aus.

 sudo rkhunter --check

Das Programm stoppt nach jedem Abschnitt. Sie werden wahrscheinlich einige Warnungen sehen. Viele entstehen aufgrund von suboptimalen Konfigurationen. Wenn der Scan abgeschlossen ist, werden Sie aufgefordert, sich das vollständige Aktivitätsprotokoll unter /var/log/rkhunter.log . Sie können den Grund für jede Warnung dort sehen.

Sie erhalten außerdem eine vollständige Zusammenfassung der Scan-Ergebnisse.

Schlussgedanken

Hoffentlich ist Ihr System sauber geworden. Seien Sie vorsichtig und überprüfen Sie die Ergebnisse, die Sie erhalten, bevor Sie etwas drastisches tun.

Wenn etwas zu Unrecht ist, wägen Sie Ihre Optionen ab. Wenn Sie ein Rootkit haben, sichern Sie Ihre Dateien und formatieren Sie das Laufwerk. Es gibt wirklich keinen anderen Weg.

Halten Sie diese Programme auf dem neuesten Stand und scannen Sie sie regelmäßig. Sicherheit entwickelt sich ständig und Bedrohungen kommen und gehen. Es liegt an dir, up-to-date und wachsam zu bleiben.