Как проверить linux на вирусы

Почему Linux безопасен?

1. Архитектура

Операционная система UNIX, на базе которой разработан Linux специально разрабатывалась для многопользовательской работы. Здесь есть суперпользователь, имеющий доступ ко всем файлам и каталогам, а также отдельные пользователи, с доступом только к своим каталогам и разрешенным для них файлов. Пользователи используются не только для предоставления доступа к компьютеру для людей, но и для запуска программ, что позволяет ограничить их полномочия.

В Windows до Vista никакой подобной защиты не было, поэтому для вирусов было раздолье. Потом Microsoft немного улучшила ситуацию, но многие пользователи до сих пор сидят от имени администратора. В дистрибутивах Linux запустить графическую оболочку от имени root очень сложно и делать так совсем не принято.

2. Открытость

Благодаря открытости платформы многие пользователи могут проверить код и найти в нём уязвимости и проблемы, а потом предложить исправления. Таким образом ошибки находятся быстрее, а безопасность системы в целом выше, потому что больше людей работают над её обеспечением.

3. Разнообразие

Существует огромное количество дистрибутивов Linux, окружений рабочего стола, систем инициализации и программ в целом. В Windows работает большинство программ написанных для одной из версий системы. Всегда это было плюсом, но в данном случае это минус, потому что все вирусы тоже работают. В Linux же всё не так просто. Даже обычные программы не всегда удастся запустить без перекомпилирования в другом дистрибутиве, потому что им не будет хватать каких-либо библиотек или компонентов.

4. Репозитории

Это тоже очень важный момент, потому что большинство программ в Linux устанавливаются не из сторонних сайтов интернета, а из репозиториев. Там они проверены и подписаны ключами для проверки подлинности. Никто не может их подменить или подсунуть вместо программ вирус, потому что они тщательно проверяются сопровождающими пакетов. В Windows же большинство программ устанавливаются из интернета и никто не может гарантировать их качество, особенно если пользователи загружают программы не из официальных источников.

5. Низкая популярность

По сравнению с Windows и MacOS, операционные системы семейства Linux намного реже используются на компьютерах домашних пользователей. У вирусописателей мало мотивации заряжать домашних пользователей Linux, потому что их мало. Пользователей Windows намного больше и средний уровень знания информационной безопасности среди пользователей Windows ниже.

Как не поймать вирус и как защититься от вируса?

Везде можно подхватить вирус. Но волков бояться — в лес не ходить

Компьютерная безопасность — это очень важно особенно для людей, работающих в интернете. Как же защититься от вирусов? Вот несколько важных правил, как обезопасить свою работу с компьютером:

1. Антивирус. Прежде всего, конечно же установить хороший антивирус и дать ему возможность обновляться хоть каждый день. Он, конечно, тормозит работу компьютера, но зато сразу распознает известный ему вирус или укажет вам на подозрительный объект, будь то скачанный файл, вставленный съёмный носитель или папки на вашем жёстком диске.

2. Не открывать, не нажимать, не скачивать. Большинство вирусов приходят на компьютер по вине самого хозяина. Когда человек видит что-то интригующее или находит то, что давно искал, он теряет бдительность, надеется на авось и сам скачивает себе на компьютер вирус. Так что не открывайте писем от неизвестных отправителей, не переходите по непонятным ссылкам, не кликайте все подряд баннеры, не скачивайте вложений и непроверенных приложений. Всегда будьте на чеку, если вам предлагается файл с расширением exe или com. Это запускные файлы, которые могут содержать в себе вирус.

3. Проверяйте. Если вам пришло сообщение от друга или известной фирмы, свяжитесь с этим человеком по другому каналу (например, по телефону, скайпу, загляните на его страничку в соцсетях) или напишите в техподдержку компании, от которой пришло непонятное письмо. Только не отвечайте на это письмо, а найдите сайт этой компании и пишите там в форму обратной связи. Выясняйте и проверяйте прежде, чем переходить по каким бы то ни было ссылкам в письме.

4. Установите Linux. Большинство вирусов подстраиваются под Windows, поэтому чтобы не бояться переходить по ссылкам на вредоносные сайты, установите другую операционную систему, например, Линукс.

5. Измените настройки браузера. Установите, чтобы браузер всегда спрашивал вашего разрешение на скачивание файлов, а также запретите автозапуск программ.

Работая в интернете, мы часто сталкиваемся с различными мошенниками, будь то лохотронщики, которые пытаются выманить у вас деньги, или хакеры, которые пытаются выманить ваши пароли. Поэтому всегда будьте бдительны. Надеемся, наши советы помогут вам в этом.

Если вам нравятся наши статьи, подписывайтесь на рассылку и получайте небольшой бонус от команды детективов.

Как найти вирус на сервере Linux

Вредоносные программы, вирусы, трояны, майнеры имеют определённую цель. Для этой цели им необходимо выполнять те или иные действия — именно по этой активности и можно их найти. Кроме того, поскольку программы находятся в системе «нелегально», то им необходимо, во-первых, сохраниться после перезапуска компьютера; во-вторых, запуститься после перезапуска системы. Эти действия также могут выдать их.

В качестве активности вредоносного ПО можно выделить:

• прослушивание портов или связь с удалёнными компьютерами (характерно для троянов)
• повышенное потребление ресурсов компьютера (характерно для майнеров, программ для рассылки спама, компьютеров подключённых к ботнету)

Для закрепления в системе программа может:

• копировать свои файлы и скачивать другое вредоносное ПО
• добавлять задачи Cron
• добавлять свои файлы в автозагрузку служб
• модифицировать файлы профиля, автоматически выполняемые при входе пользователя в систему

Linux.Encoder

Linux.Encoder известный, как первый шифровальщик для операционных систем на базе ядра Linux. Распространение вируса началось 5 ноября 2015 года. Используя различные уязвимости в системе вирус шифровальщик linux проникал на сервер и зашифровывал все доступные для записи файлы с помощью симметричного шифрования AES и RSA.

Открытый ключ, которым было выполнено шифрование доступен всем, а вот за закрытый, нужный для расшифровки, злоумышленники требовали деньги в валюте bitcoin. Основным путем для проникновения в систему для этого вируса была уязвимость в популярной CMS для создания онлайн магазинов — Magento. Естественно, уязвимость была давно закрыта, но не все небольшие ресурсы установили обновление, за что и поплатились.

Было обнаружено несколько версий вируса Linux.Encoder.0, Linux.Encoder.1 , Linux.Encoder.2. Но для всех из них со временем были найдены способы расшифровки файлов.

Как проверить сайт на вирусы?

Начнем с более популярного сканера AI-Bolit и потом перейдем к более простому, но не менее надежному LMD.

Проверка сайта на вирусы с помощью AI-Bolit

Еще несколько лет назад рынок антивирусов для веб-сайтов пустовал. Системным администраторам и веб-мастерам приходилось самим писать различные скрипты и собирать базы сигнатур чтобы обнаруживать вредоносный код на своих сайтах. Одним из таких скриптов был Ai-bolit. Изначально это был небольшой скрипт, который позволял искать вирусы по регулярным выражениям и гибким патерам. Благодаря этому скрипт обнаруживал больше вариантов зашифрованного вирусного кода. Потом он оброс дополнительными функциями, такими как обнаружение уязвимостей в программном обеспечении, использование баз данных сигнатур, и многое другое. А теперь давайте рассмотрим как установить и использовать AI-Bolit на вашем сервере.

Нам нужна именно версия «General version for hosting, Mac OS X or Unix OS». Далее, загрузите полученный архив на сервер, например, с помощью scp:

Дальше вам нужно распаковать архив:

Сканер может работать в режиме веб-интерфейса, но рекомендуется запускать его именно через командную строку для полной проверки. Для этого скопируйте все файлы из папки ai-bolit в корневую папку вашего сайта:

Там будет два файла. Сам сканер и белый список точно надежных файлов, которые не являются вирусами. Дальше нам нужно запустить сканирование. Проверка кода сайта на вирусы выполняется командой:

Дальше начнется длительный процесс сканирования, который может занять от нескольких часов до суток, в зависимости от того, сколько там у вас файлов. Я бы даже рекомендовал запускать скрипт внутри сессии screen, чтобы ничего не помешало ему выполнить работу до конца, потому что если соединение будет разорвано, то работа скрипта прекратится.

Когда проверка сайта на вирусы ai bolit будет завершена, в этой же папке будет создана html страница с отчетом о том, что было найдено. Здесь есть четыре секции. Первая, красная секция содержит информацию про обнаруженные вирусы, вторая секция — подозрительные файлы, третья секция — обнаруженные уязвимости и четвертая — возможные проблемы с правами доступа или другими настройками сервера.

В самом верху отчета находится общая сводка обо всем, что было обнаружено. Если вы не добавите белый список, то получите очень много ложных срабатываний, как на снимке выше. Дальше вам останется проанализировать полученный отчет, просмотреть все файлы, которые сканеру не понравились и проверить действительно ли там есть вирусы.

Проверка сайта на вирусы с помощью LMD

Linux Malware Detection — это более простая программа для проверки сайта на вирусы. Он использует базу данных сигнатур и регулярные выражения grep для писка вредоносного кода. Кроме того, сканер может интегрироваться с Clamav и использовать clamscan для сканирования вместо своих регулярных выражений. Скачать сканер можно на его официальном сайте.

Дальше его нужно загрузить на сервер уже известной вам командой scp. А затем распаковать архив:

Дальше перейдите в папку с распакованными файлами и запустите установку скрипта на сервер:

Будут созданы задания cron, обновлена база, а также скопированы исполняемые файлы в необходимые папки. Далее, можно запустить сканирование. Для этого передайте утилите maldet опцию -a, и путь, который нужно проверить:

Сканирование тоже займет достаточно времени, а по прошествии на экран будет выведена вся информация об обнаруженных или исправленных угрозах.

Что мы будем использовать?

В этой статье я рассмотрю два решения, это AI-Bolit и Linux Malware Detect. Оба продукты полностью бесплатны и распространяются под свободной лицензией. Оба сканера ориентированы на работу именно в сфере веб для писка различных шелов, бекдоров и других признаков заражения в исходном коде. Антивирусы имеют собственную базу сигнатур, с помощью которой и выявляют угрозы. Также есть определенный уровень эвристического анализа, с помощью которого могут быть обнаружены еще неизвестные угрозы. Обе программы представляют из себя скрипты, которые нужно установить на ваш сервер. А теперь рассмотрим каждую из них более подробно.

Улучшение защищенности Linux системы

Большинство дистрибутивов Linux обычно поставляются с передовыми системами безопасности, но все они сложны в настройке и использовании. Каждый компьютер, подключенный к сети не застрахован от вирусов. Но все относительно. Если мы сравним уровень уязвимости Linux и Windows то легко поймем почему много людей говорят что Linux безопасен.

Вирус — это любая компьютерная программа, которая может копировать себя и заражать другие компьютеры. Есть и другие объяснения понятия «компьютерный вирус», чтобы оно включало все виды рекламного ПО, вредоносные и шпионские программы, которые не имеют репродуктивной способности и т д. Можно сказать, что компьютерный вирус — это один из видов вредоносного кода или программного обеспечения, которое может заражать компьютеры или распространятся без воли пользователя. В последнее время появилась новая тенденция распространения кросс-платформенных вирусов.

Вот некоторые действия, которые нужно проделать для улучшения безопасности своей системы Linux и чтобы не пустить linux вирусы на свой компьютер:

• Защита загрузчика
• Проверка на руткиты
• Шифрование диска
• Защита пользователя root сильным паролем
• Правильное распределение привилегий между пользователями
• Правильные права для файлов
• Использование SELinux
• Настройка брандмауэра
• Использование антивируса
• Удаление лишних программ, в которых могут быть уязвимости
• Устанавливать важные обновления безопасности

Вирусы linux могут передаваться различными путями:

• Почтовые вложения
• Вместе с приложениями
• Вредоносные URL адреса

Несмотря на то что очень сложно заразить Linux машину, вы не должны оставаться совсем без защиты.

пятница, 26 октября 2012 г.

ПРО ВИРУСЫ ДЛЯ LINUX

10/26/2012 02:37:00 PM
 ГАЗЕНВАГЕН
 

В первую очередь дам ответы на самые распространенные вопросы о вирусах в Linux и в Ubuntu в частности.
Вопрос 1. Существуют ли вирусы для Linux?
Ответ: Да, конечно, но их в несколько тысяч раз меньше чем под Windows и до сих пор ни один из них не получил массового распространения.
Вопрос 2. Могут ли вирусы для Windows заразить компьютер с Linux?
Ответ: Да, если в Linux установлен Wine, то, в принципе, в Linux могут работать вирусы для Windows, однако многие вирусы используют именно недокументированные системные вызовы Windows, которые очень плохо реализованы в Wine и поэтому риск заражения намного меньше. Далее, вирусы могут работать и в Windows , установленной на виртуальной машине, запущенной под управлением Linux. Кроме того, компьютеры с Linux могут быть пассивными носителями вирусных файлов, которые могут снова начать работать, после того как их, например, на флешке перенесут на компьютеры, работающие под управлением Windows.
Вопрос 3. Правда ли, что Linux лучше защищен от вирусов, чем Windows?
Ответ: Для того, чтобы ответить на этот вопрос нужно выбрать адекватный метод сравнения, ну и собственно провести тест. Теоретически такое сравнение можно провести взяв два свежих кроссплатформенных вируса, «натравить» их на компьютеры под управлением Linux и Windows и посмотреть результаты. Однако, проблема в том, что вирусы, как правило , используют какую-то одну уязвимость, характерную для одной операционной системы, поэтому подобное сравнение вряд ли получится осуществить.
Рядовых же пользователей как правило интересует то, насколько лучше они будут защищены в своей повседневной работе, а не то насколько их операционная система устойчива против вирусных атак в принципе. И здесь у Linux очень много «козырей»:
под Linux написано очень мало вирусов;
в мире Linux существует очень много разных дистрибутивов, написание вируса одинаково хорошо работающего во всех из них весьма затруднительно;
в разных дистрибутивах по-умолчанию установлены разные наборы по-разному скомпилированных программ, что также снижает вероятность массового распространения вируса;
программы, скачанные из интернета, в Linux по-умолчанию не являются исполняемыми, для начала их нужно сделать таковыми;
основным источником программ в Linux являются проверенные репозитории, вероятность попадания вирусов в которые очень мала.
Вследствие вышеперечисленных особенностей, как уже указывалось выше, НИ ОДИН вирус для Linux не получил массового распространения.
Из всего этого следует, что при большем желании вы сможете найти установить вирус под Linux, но вероятность того, что вы его случайно подхватите исчезающе мала, скажу только, что за несколько лет работы в Ubuntu я не не встречал ни одного вируса.
ТЕПЕРЬ СОБСТВЕННО ПРО АНТИВИРУСЫ ДЛЯ UBUNTU
Понятно, что антивирус нужен не для Ubuntu, а для того, чтобы, например , не стать пассивным носителем вирусных файлов и не подпортить жизнь знакомым, работающих под виндой, или чтобы проверять разделы Windows на своем компьютере, если у вас установлены сразу две операционные системы. Некоторые также ставят антивирусные программы, чтобы на собственном опыте убедится, что в свободном виде встретить вирус для Linux практически не возможно.
Какие есть решения?
a) С открытым кодом
Конечно ClamAV — бесплатная программа с открытым кодом.
б) Бесплатные с собственической лицензией
(по алфавиту)
Avast! Linux Home Edition
AVG Antivirus
Avira Antivirus
BitDefender Antivirus
F-Prot Antivirus
Panda Antivirus
P.S. Вирусы под Linux распространяются методом «Ух ты!!! Дай посмотреть!» ;)ПРО ВИРУСЫ ДЛЯ LINUX

Posted in: Антивирус,Дистрибутивы,Литература,Настройка,Разное по теме,Ubuntu

Следующее

Предыдущее

Главная страница

1995-1996 Concept и Laroux

Именно эти два вируса дали более мощный и серьезный толчок в сторону создания опасных программ для операционных систем. Тут уже надо было бить тревогу, эти зловреды начали встраиваться в часто используемые программы.

Concept распространялся через CD-ROM. Заражал как Mac, так и PC с Microsoft Word. По сути, ничего серьезного из себя не представлял. Выводил на дисплей сообщение с цифрой «1», но в дальнейшем по этому принципу создали тысячи макровирусов для MS Office.

Laroux, по аналогии с Concept, проникал в Ms Office, но в этот раз, заражение уже шло на Excel файлы. Он создавал новый лист с название “Laroux”.

1. Linux.Encoder

Linux.Encoder известный, как первый шифровальщик для операционных систем на базе ядра Linux. Распространение вируса началось 5 ноября 2015 года. Используя различные уязвимости в системе вирус шифровальщик linux проникал на сервер и зашифровывал все доступные для записи файлы с помощью симметричного шифрования AES и RSA.

Открытый ключ, которым было выполнено шифрование доступен всем, а вот за закрытый, нужный для расшифровки, злоумышленники требовали деньги в валюте bitcoin. Основным путем для проникновения в систему для этого вируса была уязвимость в популярной CMS для создания онлайн магазинов — Magento. Естественно, уязвимость была давно закрыта, но не все небольшие ресурсы установили обновление, за что и поплатились.

Было обнаружено несколько версий вируса Linux.Encoder.0, Linux.Encoder.1 , Linux.Encoder.2. Но для всех из них со временем были найдены способы расшифровки файлов.

Антивирусные приложения

графический интерфейс для ClamAV работает сканирование на Ubuntu 8.04 Hardy Heron

Доступен ряд антивирусных приложений, которые работают под управлением операционной системы Linux. Большинство этих приложений ищут эксплойты, которые могут повлиять на пользователей Microsoft Windows.

Для угроз, специфичных для Microsoft Windows

Эти приложения полезны для компьютеров (обычно серверов), которые передают файлы пользователям MS Windows. Они не ищут угрозы, специфичные для Linux.

• Avast! ( проприетарная ; доступна бесплатная версия)
• AVG (проприетарный; доступна бесплатная версия)
• Avira (проприетарная; была доступна бесплатная версия, выпуск прекращен из-за отсутствия спроса)
• BitDefender (проприетарный; доступна бесплатная версия)
• ClamAV ( бесплатное программное обеспечение с открытым исходным кодом )
• Comodo (проприетарный; доступна бесплатная версия)
• Dr.Web (собственный)
• F-Prot (проприетарный; доступна бесплатная версия)
• F-Secure Linux (собственный)
• Kaspersky Linux Security (собственный)
• McAfee VirusScan Enterprise для Linux (собственный)
• Panda Security для Linux (проприетарный)
• Sophos (проприетарный) (также версии для UNIX и Linux)
• Symantec AntiVirus для Linux (собственный)
• Trend Micro ServerProtect для Linux (собственный)

Для угроз, специфичных для Linux

Эти приложения ищут реальные угрозы компьютерам Linux, на которых они работают.

• chkrootkit (бесплатное программное обеспечение с открытым исходным кодом)
• ClamAV (бесплатное программное обеспечение с открытым исходным кодом)
• Comodo (собственный)
• Dr.Web (собственный)
• ESET (проприетарный) (обнаруживает вредоносное ПО для OS X и Windows)
• Обнаружение вредоносного ПО в Linux
• lynis (аудит с открытым исходным кодом)
• rkhunter (бесплатное программное обеспечение с открытым исходным кодом)
• Sophos (проприетарный) (также версии для UNIX и Windows)

Вредоносные программы для Linux также могут быть обнаружены (и проанализированы) с помощью инструментов криминалистической экспертизы памяти, таких как:

• Forcepoint (собственный)
• Волатильность (бесплатное программное обеспечение с открытым исходным кодом)

Linux.NyaDrop

Это еще один троян, который инфицирует IoT устройства под управлением Linux точно так же, как это делает Mirari. Он не просто ищет устройства без пароля, но и пытается перебрать самые часто используемые пароли для telnet, чтобы попасть на устройство.

Работает вирус немного другим образом, после проникновения на устройство, он загружает исполняемые файлы бэкдора, который позволяет получить удаленный доступ к устройству. Пока что инициируются только роутеры на архитектуре MIPS, но в будущем вирус может расширить круг своих жертв. Хакеры смогут использовать зараженные устройства не только для DDoS атак, но и, например, в качестве прокси.

Системы обнаружения вторжений

Антивирусы могут обнаружить далеко не все новые угрозы. В августе 2015 группа хакеров Sofacy запустила кибер атаку с помощью собственного инструмента Azzy. Kaspersky обновили свои базы данных, добавив туда эту программу. А хакеры выпустили новую версию в течение 90 минут, которая уже не обнаруживалась антивирусом.

В 2017 году антивирусы, которые работают на основе баз данных не смогут быстро выявить новые угрозы. Выбирайте программное обеспечение, которое использует обнаружение аномалий и блокирует любые необычные действия программ.

К таким продуктам можно отнести ClamAV. Также в Linux можно настроить SELinux и Apparrmor для противодействия вторжениям и добавления еще одной степени защиты. Это основные правила безопасности за компьютером.

Основные способы заражения

Вредоносное программное обеспечение может попасть на компьютер многими способами. Перечислим некоторые из них:

• Бинарные файлы и исходные коды, полученные из сторонних репозиториев. Shell scripts (скрипты оболочки), которые помогают установке программ на Linux-системы, часто запускаются, используя права суперпользователя, имеют доступ к файлам системы. Вместо актуальной версии может быть установлена библиотека-обманка.

• Методы social engineering (подробнее можно посмотреть здесь) — некие техники, использующие слабости человеческой психики, эксплуатируя ошибки, совершаемые полльзователем на этой почве, чтобы получить доступ к его данным, правам доступа или ценным данным. Самый простой и известный пример такой страшной техники — фишинг.

• Также стоит заметить, что под Linux работают и вредоносное ПО Windows (здесь мы передаём «привет» Wine), правда живут они (по некоторым причинам: возможно, стандартные методы запуска программ в Windows в Linux не работают) до перезагрузки системы.

В наши дни разработчики программного обеспечения мониторят свои репозитории на наличие уязвимостей, жить становится безопаснее!

Чем вы занимаетесь в Интернете?

Вероятность того, что вы столкнетесь с чем-то неприятным, зависит от того, чем вы занимаетесь в Интернете. Вот некоторые из наиболее распространенных направлений деятельности современного пользователя,  и то, как это могут использовать плохие парни (они же «Кул Хацкеры»).

1. Электронная почта

Здесь угроза заключается в ссылках и вложениях, которые Вы получаете по электронке

Чтобы избежать инцидентов, важно всегда быть уверенным, что отправитель является тем, кем вы его считаете

2. Сайты

Вам следует беспокоиться о веб-сайтах, которые имеют формы и запрашивают любую информацию. Подумайте, что вы вводите, и доверяете ли вы веб-сайту свою личную информацию, особенно если вы вводите финансовые данные.

3. Потоковая передача

Хотя при потоковой передаче видео с Netflix вы можете быть уверены, что находитесь в безопасности, но если оно поступает с хитроумного «бесплатного» сайта с фильмами или телепередачами, вам следует быть немного осторожнее. Даже бесконечные всплывающие окна могут хоть и не повредить вашему компьютеру, но несказанно раздражать.

4. Скачивание

Опять же, доверие играет большую роль в том, что вы загружаете. Если он из известного и авторитетного источника, вы, вероятно, можете быть уверены, что загружаемый вами файл не содержит вируса, скрывающегося внутри. Обязательно проведите исследование, особенно перед загрузкой каких-либо приложений или (особенно) торрент-загрузкой.