כיצד לסרוק את המחשב לינוקס עבור וירוסים ו

האם אתה מודאג כי המחשב לינוקס שלך עלול להיות נגוע בתוכנה זדונית? האם בדקת פעם? בעוד מערכות לינוקס נוטות להיות פחות חשופות לתוכנה זדונית מאשר Windows, הן עדיין יכולות להיות נגועות. הרבה פעמים הם פחות מתפשרים.

יש קומץ מעולה של קוד פתוח כלים כדי לעזור לך לבדוק אם מערכת לינוקס שלך כבר קורבן של תוכנות זדוניות. אמנם אין תוכנה מושלמת, אלה שלושה יש מוניטין מוצק והוא יכול להיות מהימן כדי למצוא את האיומים הידועים ביותר.

1. ClamAV

ClamAV הוא אנטי וירוס סטנדרטי יהיה כנראה הכי מוכר לך. יש למעשה גירסה של Windows ClamAV מדי.

התקן ClamAV ו ClamTK

ClamAV ואת החזית הגרפית שלה הם ארוזים בנפרד. זה בגלל ClamAV ניתן להפעיל משורת הפקודה ללא GUI, אם תבחר. אפילו עדיין, ממשק גרפי ClamTK קל יותר עבור רוב האנשים. להלן כיצד להתקין את זה.

עבור הפצה מבוססת דביאן ואובונטו:

 sudo apt להתקין clamtk

אתה יכול גם למצוא clamav ו clamtk במנהל החבילה של clamtk שלך אם אתה לא משתמש הפצה מבוסס אובונטו.

לאחר התקנת שתי התוכניות, עליך לעדכן את מסד הנתונים של הנגיף. שלא כמו כל דבר אחר עם ClamAV, זה צריך להיעשות כמו שורש או עם sudo .

 סודו

יש סיכוי כי freshclam הוא להיות לרוץ כמו daemon. כדי להפעיל אותו באופן ידני, לעצור את daemon עם Systemd. לאחר מכן, אתה יכול להפעיל אותו בדרך כלל.

 לעצור את clamav-freshclam

זה ייקח קצת זמן, אז פשוט תן ClamAV לטפל בדברים.

הפעל את הסריקה

לפני שתפעיל את הסריקה, לחץ על הלחצן "הגדרות" ובדוק "סרוק קבצים המתחילים בנקודה", "סרוק קבצים גדולים מ -20 MB" ו"סרוק ספריות באופן רקורסיבי ".

חזור לתפריט הראשי ולחץ על "סרוק מדריך." בחר את הספרייה שברצונך לבדוק. אם אתה רוצה לסרוק את המחשב כולו, בחר "Systemystem." ייתכן שיהיה עליך להפעיל מחדש ClamTK משורת הפקודה עם sudo כדי שזה יעבוד.

לאחר השלמת הסריקה, ClamTK יציג בפניך את כל האיומים שהתגלו ויאפשר לך לבחור מה לעשות איתם. מחיקתם היא ללא ספק הטובה ביותר, אך עלולה לערער את המערכת. זה מגיע לשיחה פסק דין בשבילך.

2. Chkrootkit

הסריקה הבאה להתקנה היא Chkrootkit. היא סורקת עבור סוג מסוים של תוכנות זדוניות ספציפיות למערכות יוניקס כמו לינוקס ו- Mac - rootkit. כפי שהשם מרמז, המטרה של rootkits היא להשיג גישה שורש על מערכת היעד.

Chkrootkit סורק קבצי מערכת עבור סימנים של שינויים זדוניים ובודק אותם נגד מסד נתונים של rootkits ידוע.

Chkrootkit זמין ברוב מאגרי ההפצה. התקן אותו עם מנהל החבילה שלך.

 sudo apt להתקין chkrootkit

בדוק עבור Rootkits

זה קל מאוד לרוץ. פשוט להפעיל את הפקודה כמו שורש או עם sudo .

 sudo chkrootkit

זה יהיה לרוץ למטה רשימה של rootkits פוטנציאליים מהר מאוד. זה עלול להשהות זמן מה בעוד כמה זמן הוא סורק דרך קבצים. אתה צריך לראות "שום דבר לא נמצא" או "לא נגועים" ליד כל אחד.

התוכנית לא נותנת דוח סופי כאשר זה מסתיים, אז לחזור דרך לבדוק באופן ידני כי לא הופיעו תוצאות.

אתה יכול גם צינור התוכנית לתוך grep ולחפש INFECTED, אבל זה לא יתפוס הכל.

ידועים כוזבים False

יש באג מוזר עם Chkrootkit כי דוחות חיוב כוזב עבור לינוקס / Ebury - מבצע Windigo. זהו באג ידוע זמן שנגרם על ידי הכנסת דגל A לתוך SSH. יש כמה בדיקות ידניות אתה יכול לרוץ כדי לוודא שזה חיובי כוזב.

ראשית, הפעל את השורש הבא.

 מצא / lib * -type f- שם libens2.so

זה לא אמור להופיע כלום. לאחר מכן, ודא כי התוכנה הזדונית אינה משתמשת בשקע Unix.

 netstat -Nap grep "@ / proc / udevd"

אם אף אחת מהפקודות לא תגרום לתוצאות כלשהן, המערכת תהיה נקייה.

כמו כן נראה שיש חיובי כוזב למדי עבור tcpd על אובונטו. אם היא מחזירה תוצאה חיובית במערכת שלך, המשך לחקור, אך שים לב שהתוצאה עלולה להיות שגויה.

אתה גם עלול להיתקל ערכים wted . אלה יכולים להיגרם על ידי שחיתות או שגיאות רישום על קריסות המערכת. השתמש last כדי לבדוק אם פעמים קו עם אתחול מחדש או קריסות. במקרים אלה התוצאות נגרמו ככל הנראה על ידי אירועים אלה ולא פעילות זדונית.

3. Rununter

Rkhunter הוא כלי נוסף לחיפוש אחר טירונים. זה טוב להפעיל את שני Chkrootkit על המערכת שלך כדי להבטיח ששום דבר לא החליק דרך סדקים כדי לוודא חיוביות שגויות.

שוב, זה צריך להיות במאגרים של ההפצה שלך.

 sudo מתאים להתקין

הפעל את הסריקה

ראשית, עדכון מסד הנתונים של rkhunter.

 sudo rkhunter - עדכן

לאחר מכן, הפעל את הסריקה.

 - לבדוק

התוכנית תעצור אחרי כל קטע. אתה בטח תראה כמה אזהרות. רבים נובעים מתצורות תת-אופטימליות. כאשר הסריקה מסיימת, זה יגיד לך להסתכל על פעילות מלאה שלה יומן ב /var/log/rkhunter.log . אתה יכול לראות את הסיבה לכל אזהרה שם.

זה גם נותן לך סיכום מלא של תוצאות הסריקה שלה.