리눅스 트로이 목마를 탐지하고 제거하는 방법?

나는 최근에 이것을 다시 우연히 발견했다 : 리눅스 트로이 목마는 거의 1 년 동안 주목받지 못한다 (Unreal IRCd)

예, 신뢰할 수없는 출처에서 임의의 PPA / 소프트웨어를 추가하면 문제가 발생한다는 것을 알고 있습니다. 나는 그렇게하지 않지만 많은 사람들이한다 (많은 Linux 블로그와 타블로이드는 시스템을 손상 시키거나 여전히 악화되어 보안을 손상시킬 수 있음을 경고하지 않고 멋진 앱을위한 PPA 추가를 장려합니다.)

트로이 목마 또는 악성 응용 프로그램 / 스크립트를 어떻게 탐지하고 제거 할 수 있습니까?

그것은 항상 감지 소프트웨어가있는 고양이와 마우스 게임입니다. 새로운 악성 코드가 생성되고 스캐너가이를 탐지하도록 업데이트됩니다. 둘 사이에는 항상 시차가 있습니다. 휴리스틱을 사용하여 소프트웨어가 수행하는 작업을보고 원치 않는 활동을 포착하려고 시도하는 프로그램이 있지만 제 생각에는 완벽한 솔루션이 아니며 리소스를 사용합니다.

저의 조언은 간단합니다. 신뢰할 수없는 소스에서 소프트웨어를 설치하지 마십시오. 그러나 당신이 나와 같은 유혹을 피할 수없는 경우, 가상 머신 (예 : virtualbox)에 넣고 자신감이 생길 때까지 사용하십시오 그것은 시스템을 망치거나 원하지 않는 일을하지 않습니다.

완벽한 솔루션이 아니라 현재로서는 가상 머신이 머신을 원치 않는 시스템으로부터 격리시킬 수있는 가장 좋은 기회입니다.

Linux / Unix 용 대부분의 맬웨어 방지 소프트웨어는 Windows 맬웨어 만 검색합니다. 보안 업데이트가 느리거나 오지 않는 경우에도 Linux 맬웨어의 발생은 일반적으로 매우 제한적입니다.

기본적으로 매일 신뢰하고 업데이트하는 소프트웨어 만 사용하므로 안전합니다.

또 다른 응답은 말했다 : "항상 탐지 소프트웨어가있는 고양이와 마우스 게임" .
동의하지 않습니다.

이는 맬웨어 탐지를 위해 서명 또는 휴리스틱에 의존하는 접근 방식에 해당됩니다.
그러나 맬웨어를 탐지하는 또 다른 방법이 있습니다. 알려진 상품 확인 :

• Tripwire , AIDE 등은 디스크의 파일을 확인할 수 있습니다.
  

• Second Look 은 실행중인 커널 및 프로세스를 확인할 수 있습니다.
  Second Look은 메모리 포렌식을 사용하여 운영 체제, 활성 서비스 및 응용 프로그램을 직접 검사합니다.
  메모리의 코드를 Linux 배포 공급 업체에서 릴리스 한 코드와 비교합니다. 이러한 방식으로 루트킷과 백도어 및 무단 프로그램 (트로이 목마 등)으로 인한 악의적 인 수정 사항을 즉시 찾아 낼 수 있습니다.

(공개 : 저는 Second Look의 수석 개발자입니다.)

Kaspersky와 avg는 모두 솔루션을 제공하며 McAfee는 Ubuntu에서 사용 가능한 Red Hat 솔루션을 제공합니다. 평균은 여기 있습니다 : http://free.avg.com/us-en/download

이 기사가 흥미로울 것입니다. http://math-www.uni-paderborn.de/~axel/bliss/

나중에 걱정이되는 루트로 무엇이든 실행했다면 다시 설치해야한다는 생각이 있습니다. 전송하는 모든 파일에는 아마도 실행 가능한 비트와 'chmod ugo -x'가 제거되어 있어야합니다.

소프트웨어 센터에서 ClamAV를 사용해 볼 수도 있습니다