Làm thế nào để quét máy tính Linux của bạn cho virus và Rootkit
Bạn có lo lắng rằng máy tính Linux của bạn có thể bị nhiễm phần mềm độc hại không? Bạn đã bao giờ kiểm tra chưa? Mặc dù các hệ thống Linux có xu hướng ít bị nhiễm phần mềm độc hại hơn Windows nhưng chúng vẫn có thể bị nhiễm. Nhiều lần chúng ít bị tổn hại rõ ràng hơn.
Có một số công cụ mã nguồn mở tuyệt vời để giúp bạn kiểm tra xem hệ thống Linux của bạn có phải là nạn nhân của phần mềm độc hại hay không. Trong khi không có phần mềm nào là hoàn hảo, ba phần mềm này có một danh tiếng vững chắc và có thể tin cậy để tìm các mối đe dọa được biết đến nhiều nhất.
1. ClamAV
ClamAV là một phần mềm chống virus tiêu chuẩn và có lẽ sẽ là phần mềm quen thuộc nhất đối với bạn. Có thực sự là một phiên bản Windows của ClamAV quá.
Cài đặt ClamAV và ClamTK
ClamAV và giao diện đồ họa của nó được đóng gói riêng biệt. Đó là bởi vì ClamAV có thể được chạy từ dòng lệnh mà không có GUI, nếu bạn chọn. Thậm chí, giao diện đồ họa ClamTK dễ dàng hơn đối với hầu hết mọi người. Sau đây là cách cài đặt nó.
Đối với bản phát hành dựa trên Debian và Ubuntu:
sudo apt install clamav clamtk
Bạn cũng có thể tìm clamav
và clamtk
trong trình quản lý gói của distro nếu bạn không sử dụng distro dựa trên Ubuntu.
Sau khi cả hai chương trình được cài đặt, bạn phải cập nhật cơ sở dữ liệu virus của nó. Không giống như mọi thứ khác với ClamAV, điều đó phải được thực hiện dưới dạng root hoặc với sudo
.
sudo freshclam
Có một cơ hội mà freshclam
đang được chạy như một daemon. Để chạy thủ công, hãy dừng daemon bằng Systemd. Sau đó, bạn có thể chạy bình thường.
sudo systemctl dừng clamav-freshclam
Sẽ mất một thời gian, vì vậy hãy để ClamAV chăm sóc mọi thứ.
Chạy quét của bạn
Trước khi bạn chạy quét, hãy nhấp vào nút "Cài đặt" và chọn "Quét tệp bắt đầu bằng dấu chấm", "Quét tệp lớn hơn 20 MB" và "Quét thư mục đệ quy."
Quay lại menu chính và nhấp vào “Quét thư mục.” Chọn thư mục bạn muốn kiểm tra. Nếu bạn muốn quét toàn bộ máy tính, chọn "Hệ thống tập tin." Bạn có thể cần chạy lại ClamTK từ dòng lệnh với sudo
để nó hoạt động.
Sau khi quá trình quét hoàn tất, ClamTK sẽ giới thiệu bạn với bất kỳ mối đe dọa nào đã được phát hiện và cho phép bạn chọn những việc cần làm với chúng. Xóa chúng rõ ràng là tốt nhất, nhưng có thể làm mất ổn định hệ thống. Điều này đi xuống đến một cuộc gọi phán quyết cho bạn.
2. Chkrootkit
Lần quét tiếp theo để cài đặt là Chkrootkit. Nó quét tìm một loại phần mềm độc hại dành riêng cho các hệ thống giống Unix như Linux và Mac - rootkit. Như tên cho thấy, mục đích của rootkit là truy cập root trên hệ thống đích.
Chkrootkit quét các tệp hệ thống để tìm các dấu hiệu thay đổi độc hại và kiểm tra chúng dựa trên cơ sở dữ liệu của các rootkit đã biết.
Chkrootkit có sẵn trong hầu hết các kho lưu trữ phân phối. Cài đặt nó với trình quản lý gói của bạn.
sudo apt install chkrootkit
Kiểm tra Rootkit
Cái này rất dễ chạy. Chỉ cần chạy lệnh dưới dạng root hoặc với sudo
.
sudo chkrootkit
Nó sẽ chạy xuống một danh sách các rootkit rất nhanh. Nó có thể tạm dừng một lúc trong khi nó quét qua các tập tin. Bạn sẽ thấy “không tìm thấy gì” hoặc “không bị nhiễm” bên cạnh mỗi loại.
Chương trình không đưa ra báo cáo cuối cùng khi báo cáo kết thúc, vì vậy hãy quay lại và kiểm tra thủ công rằng không có kết quả nào được bật lên.
Bạn cũng có thể đưa chương trình này vào grep
và tìm INFECTED
, nhưng điều đó sẽ không bắt được mọi thứ.
Được biết đến Positives False
Có một lỗi kỳ lạ với Chkrootkit báo cáo một kết quả dương tính giả cho Linux / Ebury - Operation Windigo. Đây là một lỗi được biết đến lâu đời do việc đưa cờ -G
vào SSH. Có một vài thử nghiệm thủ công bạn có thể chạy để xác minh rằng đó là một kết quả dương tính giả.
Đầu tiên, hãy chạy như sau là root.
tìm / lib * -type f -name libns2.so
Nó sẽ không có gì cả. Tiếp theo, hãy kiểm tra xem phần mềm độc hại không sử dụng ổ cắm Unix hay không.
netstat -nap | grep "@ / proc / udevd"
Nếu cả hai lệnh đều không xuất hiện bất kỳ kết quả nào, hệ thống sẽ sạch sẽ.
Dường như cũng có một sai số khá mới cho tcpd
trên Ubuntu. Nếu nó trả lại kết quả tích cực trên hệ thống của bạn, hãy điều tra thêm, nhưng hãy lưu ý rằng kết quả có thể không chính xác.
Bạn cũng có thể gặp phải mục nhập cho wted
. Đó có thể là do lỗi tham nhũng hoặc ghi nhật ký trên các sự cố hệ thống. Sử dụng last
để kiểm tra xem liệu các lần xếp hàng có khởi động lại hay gặp sự cố hay không. Trong những trường hợp đó, kết quả có thể do những sự kiện đó gây ra và không phải là hoạt động độc hại.
3. Rkhunter
Rkhunter là một công cụ khác để tìm kiếm rookits. Thật tốt khi chạy cả Chkrootkit trên hệ thống của bạn để đảm bảo rằng không có gì trượt qua các vết nứt và để xác minh các mặt tích cực sai.
Một lần nữa, cái này phải nằm trong kho của phân phối của bạn.
sudo apt install rkhunter
Chạy quét của bạn
Đầu tiên, cập nhật cơ sở dữ liệu của rkhunter.
sudo rkhunter --update
Sau đó, chạy quét của bạn.
sudo rkhunter --check
Chương trình sẽ dừng sau mỗi phần. Có thể bạn sẽ thấy một số cảnh báo. Nhiều phát sinh do cấu hình phụ tối ưu. Khi quá trình quét kết thúc, nó sẽ cho bạn biết hãy xem nhật ký hoạt động đầy đủ của nó tại /var/log/rkhunter.log
. Bạn có thể thấy lý do cho mọi cảnh báo ở đó.
Nó cũng cung cấp cho bạn một bản tóm tắt hoàn chỉnh về kết quả quét của nó.
Bớt tư tưởng
Hy vọng rằng, hệ thống của bạn trở nên sạch sẽ. Hãy cẩn thận và xác minh bất kỳ kết quả nào bạn nhận được trước khi thực hiện bất kỳ điều gì quyết liệt.
Nếu có điều gì sai trái, hãy cân nhắc các tùy chọn của bạn. Nếu bạn có rootkit, hãy sao lưu các tệp và định dạng của bạn. Không có cách nào khác.
Giữ các chương trình này được cập nhật và quét thường xuyên. An ninh luôn phát triển và các mối đe dọa đến và đi. Đó là vào bạn để ở lại đến ngày và cảnh giác.