Як виявити та видалити троянин Linux?

Я нещодавно (пере) натрапив на це: Linux Trojan залишається непоміченим майже рік (Unreal IRCd)

Так, я знаю, що додавання якихось випадкових ППА / програмного забезпечення з ненадійного джерела задає проблеми (або ще гірше). Я ніколи цього не роблю, але багато хто робить (багато блогів та таблоїдів Linux рекламують додавання PPA для модних додатків, не попереджаючи, що це може зламати вашу систему чи ще гірше, пошкодити вашу безпеку.)

Як можна виявити та видалити троянську коня чи негідну програму / скрипт?

Це завжди гра в котів і мишей з програмним забезпеченням для виявлення. Створюється нове зловмисне програмне забезпечення, сканери оновлюються, щоб виявити його. Завжди є відставання між ними. Є програми, які використовують евристику, яка стежить за тим, що робить програмне забезпечення, і намагається зловити небажану діяльність, але, на мою думку, це не ідеальне рішення та використовує ресурси.

Моя порада проста: не встановлюйте програмне забезпечення з джерел, яким ви не довіряєте, але якщо ви схожі на мене і не можете уникнути спокуси, покладіть їх у віртуальну машину (тобто virtualbox) і грайте з нею, поки не будете впевнені вона не буде працювати з вашою системою або робити те, чого ви не хотіли.

Знову ж таки, не ідеальне рішення, але поки що віртуальна машина має найкращі шанси ізолювати вашу машину від небажаних.

Більшість програм проти зловмисного програмного забезпечення для Linux / Unix просто шукає зловмисне програмне забезпечення Windows. Випадки зловмисного програмного забезпечення Linux зазвичай були дуже обмеженими, навіть у випадках, коли оновлення безпеки відбувається повільно або не надходять.

В основному ви використовуєте лише програмне забезпечення, якому ви довіряєте та оновлюєте щодня, саме так ви залишаєтеся в безпеці.

Інша відповідь сказала: "Це завжди гра в кішку і мишку з програмним забезпеченням для виявлення".
Я не погоджуюсь.

Це стосується підходів, які покладаються на підписи чи евристику для виявлення шкідливих програм.
Але є ще один спосіб виявлення зловмисного програмного забезпечення: перевірка відомих товарів :

• Tripwire , AIDE тощо можуть перевірити файли на диску.
  

• Другий погляд може перевірити працююче ядро ​​та процеси.
  Second Look використовує криміналістику пам'яті, щоб безпосередньо перевірити операційну систему, активні сервіси та програми.
  Він порівнює код у пам'яті з тим, що був випущений постачальником дистрибуції Linux. Таким чином він може негайно визначити шкідливі модифікації, внесені руткітами та backdoor, та несанкціонованими програмами (троянами тощо).

(Розкриття: Я є провідним розробником Second Look.)

І Касперський, і avg мають запропоновані рішення, а McAfee - це Red Red Hat, яке може бути доступне на Ubuntu. avg тут: http://free.avg.com/us-en/download

Ця стаття може бути цікавою для вас: http://math-www.uni-paderborn.de/~axel/bliss/

Я маю на увазі, що якщо ви запустили що-небудь як корінь, про який пізніше ви відчуваєте занепокоєння, вам, ймовірно, слід перевстановити. будь-які файли, які ви передаєте, повинні, ймовірно, видалити виконуваний біт, а також "chmod ugo -x"

Ви також можете спробувати ClamAV з програмного центру