我最近(重新)偶然发现了这一点:Linux 木马近一年没有被注意到(Unreal IRCd)
是的,我知道从不受信任的来源添加一些随机 PPA/软件是自找麻烦(或更糟)。我从不这样做,但很多人这样做(许多 Linux 博客和小报提倡为花哨的应用程序添加 PPA,但没有警告它可能会破坏您的系统或更糟的是,会危及您的安全。)
如何检测和删除特洛伊木马或流氓应用程序/脚本?
AskOverflow.Dev
我最近(重新)偶然发现了这一点:Linux 木马近一年没有被注意到(Unreal IRCd)
是的,我知道从不受信任的来源添加一些随机 PPA/软件是自找麻烦(或更糟)。我从不这样做,但很多人这样做(许多 Linux 博客和小报提倡为花哨的应用程序添加 PPA,但没有警告它可能会破坏您的系统或更糟的是,会危及您的安全。)
如何检测和删除特洛伊木马或流氓应用程序/脚本?
它总是带有检测软件的猫捉老鼠游戏。创建了新的恶意软件,更新了扫描程序以检测它。两者之间总是存在滞后。有些程序使用启发式方法来观察软件正在做什么并试图捕捉不需要的活动,但在我看来,这不是一个完美的解决方案并且会占用资源。
我的建议很简单,不要安装来自您不信任的来源的软件,但如果您像我一样无法避免诱惑,请将它们放在虚拟机(即 virtualbox)中并使用它直到您有信心它既不会破坏您的系统,也不会做您不想要的事情。
同样,这不是一个完美的解决方案,但就目前而言,虚拟机最有可能将您的机器与不需要的东西隔离开来。
大多数 Linux/Unix 反恶意软件只是搜索 Windows 恶意软件。Linux 恶意软件的出现通常非常有限,即使在安全更新缓慢或没有更新的情况下也是如此。
基本上,您只使用您信任并每天更新的软件,这就是您保持安全的方式。
另一位回应称:“这始终是一场带有检测软件的猫捉老鼠游戏。”
我不同意。
对于依赖签名或启发式来检测恶意软件的方法而言,情况就是如此。
但是还有另一种检测恶意软件的方法:验证已知商品:
Tripwire、AIDE等可以验证磁盘上的文件。
Second Look可以验证正在运行的内核和进程。
Second Look 使用内存取证来直接检查操作系统、活动服务和应用程序。
它将内存中的代码与 Linux 发行版供应商发布的代码进行比较。通过这种方式,它可以立即查明由 rootkit 和后门以及未经授权的程序(木马等)进行的恶意修改。
(披露:我是 Second Look 的首席开发人员。)
Kaspersky 和 avg 都有他们提供的解决方案,McAfee 有一个可能在 Ubuntu 上可用的 Red Hat 解决方案。avg 在这里: http: //free.avg.com/us-en/download
你可能会觉得这篇文章很有趣: http: //math-www.uni-paderborn.de/~axel/bliss/
我的心态是,如果您以 root 身份运行任何您以后担心的东西,您可能应该重新安装。您传输的任何文件都应该删除可执行位以及“chmod ugo -x”
您也可以从软件中心尝试 ClamAV