Ben je bang dat je Linux-computer mogelijk is geïnfecteerd met malware? Heb je ooit gekeken? Hoewel Linux-systemen meestal minder gevoelig zijn voor malware dan Windows, kunnen ze nog steeds worden geïnfecteerd. Vaak zijn ze ook minder duidelijk aangetast.

Er zijn een handvol uitstekende opensourcehulpmiddelen om u te helpen controleren of uw Linux-systeem het slachtoffer is geworden van malware. Hoewel geen enkele software perfect is, hebben deze drie een solide reputatie en kunnen ze vertrouwd worden om de meest bekende bedreigingen te vinden.

1. ClamAV

ClamAV is een standaard antivirus en zal waarschijnlijk de bekendste zijn voor u. Er is ook een Windows-versie van ClamAV.

Installeer ClamAV en ClamTK

ClamAV en de grafische voorkant zijn afzonderlijk verpakt. Dat komt omdat ClamAV kan worden uitgevoerd vanaf de opdrachtregel zonder de GUI, als u kiest. Nog steeds is de grafische interface ClamTK voor de meeste mensen eenvoudiger. Het volgende is hoe het te installeren.

Voor distro op Debian en Ubuntu:

 sudo apt install clamav clamtk

Je kunt clamav en clamtk ook vinden in de clamtk van je distro als je geen Ubuntu-gebaseerde distro gebruikt.

Nadat beide programma's zijn geïnstalleerd, moet u de virusdatabase bijwerken. In tegenstelling tot al het andere met ClamAV, moet dat als root of met sudo worden gedaan.

 sudo freshclam

Er is een kans dat freshclam wordt uitgevoerd als een daemon. Om het handmatig uit te voeren, stop de daemon met Systemd. Vervolgens kunt u het normaal uitvoeren.

 sudo systemctl stop clamav-freshclam

Het zal enige tijd duren, dus laat ClamAV voor de zaken zorgen.

Voer uw scan uit

Voordat u uw scan uitvoert, klikt u op de knop "Instellingen" en vinkt u "Bestanden scannen beginnen met een punt", "Scanbestanden groter dan 20 MB" en "Mappen hervatten scannen" aan.

Ga terug naar het hoofdmenu en klik op "Scan A Directory." Selecteer de map die u wilt controleren. Als u de hele computer wilt scannen, selecteert u 'Bestandssysteem'. Mogelijk moet u ClamTK opnieuw uitvoeren vanaf de opdrachtregel met sudo om ervoor te zorgen dat dit werkt.

Nadat de scan is voltooid, presenteert ClamTK ontdekte bedreigingen en kunt u kiezen wat u ermee wilt doen. Verwijderen is natuurlijk het beste, maar kan het systeem destabiliseren. Dit komt neer op een oordelingsaanvraag voor jou.

2. Chkrootkit

De volgende te installeren scan is Chkrootkit. Het zoekt naar een type malware dat specifiek is voor Unix-achtige systemen zoals Linux en Mac - de rootkit. Zoals de naam al doet vermoeden, is het doel van rootkits roottoegang op het doelsysteem te verkrijgen.

Chkrootkit scant systeembestanden op tekenen van kwaadaardige wijzigingen en controleert deze met een database van bekende rootkits.

Chkrootkit is beschikbaar in de meeste distributierepository's. Installeer het met uw pakketbeheerder.

 sudo apt install chkrootkit

Controleer op rootkits

Deze is heel gemakkelijk te gebruiken. Voer de opdracht gewoon uit als root of met sudo .

 sudo chkrootkit

Het zal snel een lijst met potentiële rootkits aflopen. Het kan even stilstaan ​​tijdens het scannen van bestanden. U zou naast elke "niks gevonden" of "niet geïnfecteerd" moeten zien.

Het programma geeft geen eindrapport wanneer het is voltooid, dus ga terug door en controleer handmatig of er geen resultaten zijn weergegeven.

Je kunt het programma ook in grep en zoeken naar INFECTED, maar dat zal niet alles vangen.

Bekende valse positieven

Er is een vreemde bug met Chkrootkit die een vals positief rapporteert voor Linux / Ebury - Operation Windigo. Dit is een lang bekende fout die is veroorzaakt door de introductie van een vlag -G in SSH. Er zijn een paar handmatige tests die u kunt uitvoeren om te controleren of deze vals positief is.

Voer eerst het volgende uit als root.

 find / lib * -type f -naam libns2.so

Er zou niets moeten verschijnen. Controleer vervolgens of de malware geen Unix-socket gebruikt.

 netstat -nap | grep "@ / proc / udevd"

Als geen van beide opdrachten resultaten oplevert, is het systeem schoon.

Er lijkt ook een vrij nieuw vals positief te zijn voor tcpd op Ubuntu. Als het een positief resultaat oplevert op uw systeem, onderzoekt u dit verder, maar houd er rekening mee dat het resultaat onjuist kan zijn.

U kunt ook gegevens voor wted . Die kunnen worden veroorzaakt door corruptie of logboekfouten bij systeemcrashes. Gebruik als last om te controleren of de tijden overeenkomen met opnieuw opstarten of crashes. In die gevallen werden de resultaten waarschijnlijk veroorzaakt door die gebeurtenissen en niet door kwaadwillende activiteiten.

3. Rkhunter

Rkhunter is nog een ander hulpmiddel om rookits op te sporen. Het is goed om beide Chkrootkit op uw systeem te gebruiken om ervoor te zorgen dat niets door de kloven glijdt en om valse positieven te verifiëren.

Nogmaals, deze zou in de repositories van je distributie moeten zijn.

 sudo apt rkhunter installeren

Voer uw scan uit

Werk eerst de database van rkhunter bij.

 sudo rkhunter - update

Voer vervolgens uw scan uit.

 sudo rkhunter --check

Het programma stopt na elke sectie. Je zult waarschijnlijk een aantal waarschuwingen zien. Veel ontstaan ​​vanwege suboptimale configuraties. Wanneer de scan is voltooid, wordt u gevraagd om het volledige activiteitenlogboek te bekijken op /var/log/rkhunter.log . Je kunt de reden voor elke waarschuwing daar zien.

Het geeft je ook een compleet overzicht van de scanresultaten.

Gedachten sluiten

Hopelijk is je systeem schoon. Wees voorzichtig en verifieer alle resultaten die u ontvangt voordat u iets drastisch doet.

Als er iets niet klopt, weeg je opties. Als je een rootkit hebt, maak dan een back-up van je bestanden en formatteer die schijf. Er is echt geen andere manier.

Houd deze programma's bijgewerkt en scan regelmatig. Beveiliging evolueert altijd en dreigingen komen en gaan. Het is aan jou om op de hoogte te blijven en waakzaam te blijven.