web-dev-qa-db-fra.com

Comment détecter et supprimer un cheval de Troie Linux?

Je suis récemment tombé (re) par hasard sur ceci: n cheval de Troie Linux reste invisible pendant presque un an (Unreal IRCd)

Oui, je sais que l'ajout de PPA/logiciels aléatoires à partir d'une source non fiable pose problème (ou pire). Je ne fais jamais cela, mais beaucoup le font (beaucoup de blogs et de tabloïds Linux encouragent l'ajout de PPA pour des applications sophistiquées, sans prévenir que cela pourrait endommager votre système ou, pire, compromettre votre sécurité.)

Comment un cheval de Troie ou une application/script voyous peuvent-ils être détectés et supprimés?

16
Sid

C'est toujours un jeu de chat et de souris avec un logiciel de détection. Un nouveau malware est créé, les scanners sont mis à jour pour le détecter. Il y a toujours un décalage entre les deux. Il existe des programmes qui utilisent des méthodes heuristiques qui surveillent ce que font les logiciels et tentent de détecter les activités indésirables, mais à mon avis, ce n'est pas une solution parfaite et qui utilise des ressources.

Mon conseil est simple: n’installez pas de logiciels provenant de sources dignes de confiance, mais si vous êtes comme moi et que vous ne pouvez éviter la tentation, mettez-les dans une machine virtuelle (c’est-à-dire une boîte virtuelle) et jouez avec jusqu’à ce que vous soyez confiant. cela ne bloquera pas votre système ni ne fera des choses que vous ne vouliez pas.

Encore une fois, ce n’est pas une solution parfaite, mais pour l’instant, une machine virtuelle a les meilleures chances d’isoler votre machine des indésirables.

5
Scott Reeves

La plupart des logiciels anti-malware pour Linux/Unix recherchent simplement les logiciels malveillants Windows. Les occurrences des logiciels malveillants Linux ont généralement été très limitées, même dans les cas où les mises à jour de sécurité sont lentes ou ne viennent pas.

Fondamentalement, vous n’utilisez que des logiciels fiables et mis à jour quotidiennement, c’est ainsi que vous restez en sécurité.

1
Johanna Larsson

Une autre réponse a déclaré: "C'est toujours un jeu de chat et de souris avec un logiciel de détection."
Je ne suis pas d'accord.

Cela est vrai des approches qui reposent sur des signatures ou des méthodes heuristiques pour détecter les logiciels malveillants.
Mais il existe un autre moyen de détecter les logiciels malveillants: vérifier les biens connus :

  • Tripwire , AIDE, etc. peut vérifier des fichiers sur le disque.

  • Second Look peut vérifier le noyau et les processus en cours d'exécution.
    Second Look utilise des analyses judiciaires de la mémoire pour inspecter directement le système d'exploitation, les services actifs et les applications.
    Il compare le code en mémoire à ce qui a été publié par le fournisseur de distribution Linux. De cette manière, il peut immédiatement localiser les modifications malveillantes faites par les rootkits et les backdoors, ainsi que les programmes non autorisés (chevaux de Troie, etc.).

(Divulgation: je suis le développeur principal de Second Look.)

1
Andrew Tappert

Kaspersky et avg proposent tous les deux des solutions, et McAfee en propose une pour Red Hat qui pourrait être disponible sur Ubuntu. avg is here: http://free.avg.com/us-en/download

Vous pourriez trouver cet article intéressant: http://math-www.uni-paderborn.de/~axel/bliss/

Je pense que si vous avez exécuté quelque chose en tant que root qui vous préoccupe plus tard, vous devriez probablement le réinstaller. tous les fichiers que vous transférez devraient probablement avoir également supprimé le bit exécutable 'chmod ugo -x'

0
Steve Tose

Vous pouvez également essayer ClamAV à partir du centre logiciel

0
antman1380