Er du bekymret over, at din Linux-computer kan være inficeret med malware? Har du nogensinde kontrolleret? Mens Linux-systemer har tendens til at være mindre modtagelige for malware end Windows, kan de stadig inficeres. Mange gange er de mindre naturligvis også kompromitteret.

Der er en håndfuld fremragende open source-værktøjer til at hjælpe dig med at kontrollere, om dit Linux-system har været offer for malware. Mens ingen software er perfekt, har disse tre et solidt ry og kan stole på at finde de mest kendte trusler.

1. ClamAV

ClamAV er et standard anti-virus og vil nok være det mest kendte for dig. Der er faktisk en Windows-version af ClamAV også.

Installer ClamAV og ClamTK

ClamAV og dens grafiske forende pakkes separat. Det er fordi ClamAV kan køres fra kommandolinjen uden GUI, hvis du vælger. Alligevel er den grafiske grænseflade ClamTK lettere for de fleste. Følgende er, hvordan du installerer det.

For Debian og Ubuntu-baserede distro:

 sudo apt install klamav clamtk

Du kan også finde clamav og clamtk i din clamtk hvis du ikke bruger Ubuntu-baseret distro.

Når begge programmer er installeret, skal du opdatere dets virusdatabase. I modsætning til alt andet med ClamAV, skal det gøres som root eller med sudo .

 sudo freshclam

Der er en chance for, at freshclam bliver kørt som en dæmon. For at køre det manuelt skal du stoppe dæmonen med Systemd. Derefter kan du køre det normalt.

 sudo systemctl stop clamav-freshclam

Det tager lidt tid, så lad ClamAV tage sig af ting.

Kør din scanning

Før du kører din scan, skal du klikke på knappen "Indstillinger" og afkrydsningsfeltet "Scan filer der begynder med en prik", "Scan filer større end 20 MB" og "Scan mapper rekursivt."

Gå tilbage til hovedmenuen og klik på "Scan A Directory." Vælg den mappe, du vil tjekke. Hvis du vil scanne hele computeren, skal du vælge "Filesystem." Du skal muligvis genoprette ClamTK fra kommandolinjen med sudo for at kunne fungere.

Når scanningen er afsluttet, vil ClamTK præsentere dig for eventuelle opdagede trusler og give dig mulighed for at vælge, hvad du skal gøre med dem. Sletning af dem er selvfølgelig bedst, men kan destabilisere systemet. Dette kommer ned til en domkaldelse for dig.

2. Chkrootkit

Den næste scanning for at installere er Chkrootkit. Det scanner efter en type malware, der er specifik for Unix-lignende systemer som Linux og Mac - rootkit. Som navnet antyder, er formålet med rootkits at få rodadgang på målsystemet.

Chkrootkit scanner systemfiler for tegn på ondsindede ændringer og kontrollerer dem mod en database med kendte rootkits.

Chkrootkit er tilgængelig i de fleste distributionsregistre. Installer den med din pakkechef.

 sudo apt install chkrootkit

Check For Rootkits

Denne er meget let at køre. Bare kør kommandoen som root eller med sudo .

 sudo chkrootkit

Det vil hurtigt springe ned en liste over potentielle rootkits. Det kan pause et stykke tid på nogle, mens det scanner gennem filer. Du skal se "intet fundet" eller "ikke inficeret" ved siden af ​​hver enkelt.

Programmet giver ikke en endelig rapport, når den er færdig, så gå tilbage og manuelt kontrollere, at der ikke er kommet nogen resultater op.

Du kan også røre programmet i grep og se efter INFECTED, men det vil ikke fange alt.

Kendte falske positive

Der er en mærkelig fejl med Chkrootkit, der rapporterer en falsk positiv til Linux / Ebury - Operation Windigo. Dette er en kendte fejl, der skyldes indførelsen af ​​et -G flag i SSH. Der er et par manuelle tests, du kan køre for at kontrollere, at det er en falsk positiv.

Kør først følgende som root.

 find / lib * -type f-navn libns2.so

Det burde vise sig ingenting. Herefter skal du kontrollere, at malware ikke bruger en Unix-stikkontakt.

 netstat -nap | grep "@ / proc / udevd"

Hvis hverken kommando viser noget resultat, er systemet rent.

Der synes også at være en ret ny falsk positiv for tcpd på Ubuntu. Hvis det giver et positivt resultat på dit system, skal du undersøge yderligere, men vær opmærksom på, at resultatet kan være forkert.

Du kan også støde på indtastninger for wted . Disse kan skyldes korruption eller logfeil på systemkrascher. Brug last til at tjekke for at se om tiderne stemmer med genstart eller nedbrud. I disse tilfælde var resultaterne sandsynligvis forårsaget af disse begivenheder og ikke skadelig aktivitet.

3. Rkhunter

Rkhunter er endnu et redskab til at finde ud af rookits. Det er godt at køre begge Chkrootkit på dit system for at sikre, at der ikke glider gennem revnerne og for at bekræfte falske positive.

Igen skal denne være i din distributions repositorier.

 sudo apt install rkhunter

Kør din scanning

Opdater først rkhunters database.

 sudo rkhunter - opdatering

Kør derefter din scanning.

 sudo rkhunter --check

Programmet stopper efter hvert afsnit. Du vil sikkert se nogle advarsler. Mange opstår på grund af suboptimale konfigurationer. Når scanningen er færdig, vil det fortælle dig at kigge på sin fulde aktivitetslog på /var/log/rkhunter.log . Du kan se årsagen til enhver advarsel der.

Det giver dig også et komplet resumé af scanningsresultaterne.

Afsluttende tanker

Forhåbentlig dukket dit system rent op. Pas på og bekræft eventuelle resultater, du modtager, før du gør noget drastisk.

Hvis noget er lovligt forkert, veje dine muligheder. Hvis du har en rootkit, skal du sikkerhedskopiere dine filer og formatere det pågældende drev. Der er virkelig ingen anden måde.

Opbevar disse programmer opdateret og scan regelmæssigt. Sikkerheden udvikler sig altid, og trusler kommer og går. Det er op til dig at holde dig opdateret og årvågen.