Er du bekymret for at Linux-datamaskinen din kan bli smittet med skadelig programvare? Har du noen gang sjekket? Mens Linux-systemer har en tendens til å være mindre utsatt for skadelig programvare enn Windows, kan de fortsatt bli infisert. Mange ganger er de mindre tydeligvis også kompromittert.

Det finnes en håndfull utmerkede verktøy for åpen kildekode som hjelper deg å sjekke om Linux-systemet ditt har blitt utsatt for skadelig programvare. Mens ingen programvare er perfekt, har disse tre et solid rykte og kan stole på å finne mest kjente trusler.

1. ClamAV

ClamAV er et standard anti-virus og vil trolig være mest kjent for deg. Det er faktisk en Windows-versjon av ClamAV også.

Installer ClamAV og ClamTK

ClamAV og den grafiske frontenden er pakket separat. Det er fordi ClamAV kan kjøres fra kommandolinjen uten GUI, hvis du velger. Likevel er det grafiske grensesnittet ClamTK lettere for de fleste. Følgende er hvordan du installerer det.

For Debian og Ubuntu-basert distro:

 sudo apt install klamav clamtk 

Du kan også finne clamav og clamtk i clamtk pakkebehandling hvis du ikke bruker Ubuntu-basert distro.

Etter at begge programmene er installert, må du oppdatere dets virusdatabase. I motsetning til alt annet med ClamAV, må det gjøres som rot eller med sudo .

 sudo freshclam 

Det er en sjanse for at freshclam blir kjørt som en demon. For å kjøre det manuelt, stopp daemonen med Systemd. Da kan du kjøre det normalt.

 sudo systemctl stopp clamav-freshclam 

Det tar litt tid, så bare la ClamAV ta vare på ting.

Kjør din skanning

Før du kjører skanningen, klikk på "Innstillinger" -knappen og merk av for "Skann filer som begynner med en prikk, " "Skann filer større enn 20 MB, " og "Skann kataloger rekursivt."

Gå tilbake til hovedmenyen og klikk "Scan A Directory." Velg katalogen du vil sjekke. Hvis du vil skanne hele datamaskinen, velger du "Filsystem." Du må kanskje gjenopprette ClamTK fra kommandolinjen med sudo for at det skal fungere.

Etter at skanningen er fullført, vil ClamTK presentere deg med oppdagede trusler og la deg velge hva du skal gjøre med dem. Å slette dem er åpenbart best, men kan destabilisere systemet. Dette kommer ned til en domkall for deg.

2. Chkrootkit

Neste skanning for å installere er Chkrootkit. Det skanner for en type malware som er spesifikk for Unix-lignende systemer som Linux og Mac - rootkit. Som navnet antyder, er målet med rootkits å få root-tilgang på målsystemet.

Chkrootkit skanner systemfiler for tegn på skadelige endringer og kontrollerer dem mot en database med kjente rootkits.

Chkrootkit er tilgjengelig i de fleste distribusjonsregister. Installer den med pakkebehandleren din.

 sudo apt install chkrootkit 

Kontroller for røverkasser

Denne er veldig lett å kjøre. Bare kjør kommandoen som root eller med sudo .

 sudo chkrootkit 

Det vil kaste ned en liste over potensielle rootkits veldig raskt. Det kan pause en stund mens den skanner gjennom filer. Du bør se "ingenting funnet" eller "ikke infisert" ved siden av hver enkelt.

Programmet gir ikke en endelig rapport når den er ferdig, så gå tilbake og manuelt sjekke at ingen resultater oppsto.

Du kan også røre programmet i grep og se etter INFECTED, men det vil ikke fange alt.

Kjente falske positiver

Det er en merkelig feil med Chkrootkit som rapporterer en falsk positiv for Linux / Ebury - Operation Windigo. Dette er en kjente feil som er forårsaket av innføring av et -G flagg i SSH. Det er et par manuelle tester du kan kjøre for å bekrefte at det er en falsk positiv.

Først kjør følgende som root.

 finn / lib * -type f-navn libns2.so 

Det burde dukke opp ingenting. Kontroller deretter at skadelig programvare ikke bruker en Unix-kontakt.

 netstat -nap | grep "@ / proc / udevd" 

Hvis ingen av kommandoen viser noen resultater, er systemet rent.

Det ser også ut til å være en ganske ny falsk positiv for tcpd på Ubuntu. Hvis det gir et positivt resultat på systemet, undersøk ytterligere, men vær oppmerksom på at resultatet kan være feil.

Du kan også støte på oppføringer for wted . Disse kan skyldes korrupsjon eller loggfeil på systemkrasj. Bruk last for å se om tiderne stemmer med omstart eller krasjer. I disse tilfellene var resultatene trolig forårsaket av disse hendelsene og ikke skadelig aktivitet.

3. Rkhunter

Rkhunter er enda et verktøy for å lete etter rookits. Det er godt å kjøre begge Chkrootkit på systemet ditt for å sikre at ingenting gled gjennom sprekkene og for å bekrefte falske positive.

Igjen, denne burde være i distribusjonens repositorier.

 sudo apt install rkhunter 

Kjør din skanning

Først oppdater rkhunters database.

 sudo rkhunter - oppdatere 

Kjør deretter skanningen.

 sudo rkhunter --check 

Programmet stopper etter hvert avsnitt. Du vil sannsynligvis se noen advarsler. Mange oppstår på grunn av suboptimale konfigurasjoner. Når skanningen er ferdig, vil det fortelle deg å se på /var/log/rkhunter.log/var/log/rkhunter.log . Du kan se årsaken til hver advarsel der.

Det gir deg også et komplett oppsummering av skannesultatene.

Avsluttende tanker

Forhåpentligvis kom systemet ditt opp rent. Vær forsiktig og bekreft eventuelle resultater du mottar før du gjør noe drastisk.

Hvis noe er lovlig feil, veie alternativene dine. Hvis du har en rootkit, sikkerhetskopierer du filene dine og formaterer den stasjonen. Det er egentlig ingen annen måte.

Hold disse programmene oppdatert og skann jevnlig. Sikkerhet er alltid i utvikling og trusler kommer og går. Det er opp til deg å holde deg oppdatert og årvåken.