리눅스 트로이 목마를 탐지하고 제거하는 방법?


16

나는 최근에 이것을 다시 우연히 발견했다 : 리눅스 트로이 목마는 거의 1 년 동안 주목받지 못한다 (Unreal IRCd)

예, 신뢰할 수없는 출처에서 임의의 PPA / 소프트웨어를 추가하면 문제가 발생한다는 것을 알고 있습니다. 나는 그렇게하지 않지만 많은 사람들이한다 (많은 Linux 블로그와 타블로이드는 시스템을 손상 시키거나 여전히 악화되어 보안을 손상시킬 수 있음을 경고하지 않고 멋진 앱을위한 PPA 추가를 장려합니다.)

트로이 목마 또는 악성 응용 프로그램 / 스크립트를 어떻게 탐지하고 제거 할 수 있습니까?



나는 그것을 게시했다 (3 분 전에 여기에 게시). 이것이 위반 인 경우 그 중 하나를 제거하겠습니다.
Sid

1
블로그에 의해 광고되는 대부분의 PPA가 서명됩니다. 이는 PPA 관리자 / 개발자 만 패키지를 넣고 서명 할 수 있음을 의미합니다. 위의 예와 같이 누군가 누군가 미러 서버를 해킹하고 파일을 수정하려고하면 패키지 관리자가 하나의 패키지에 문제가 있음을 알려줍니다. 경고를 수락하고 앱을 설치하지 않는 것은 사용자의 책임입니다. 나는 당신의 진술을 약간 수정하기 위해 여기에 있습니다 :-) 귀하의 질문은 여전히 ​​관련이 있습니다.
Huygens

답변:


5

그것은 항상 감지 소프트웨어가있는 고양이와 마우스 게임입니다. 새로운 악성 코드가 생성되고 스캐너가이를 탐지하도록 업데이트됩니다. 둘 사이에는 항상 시차가 있습니다. 휴리스틱을 사용하여 소프트웨어가 수행하는 작업을보고 원치 않는 활동을 포착하려고 시도하는 프로그램이 있지만 제 생각에는 완벽한 솔루션이 아니며 리소스를 사용합니다.

저의 조언은 간단합니다. 신뢰할 수없는 소스에서 소프트웨어를 설치하지 마십시오. 그러나 당신이 나와 같은 유혹을 피할 수없는 경우, 가상 머신 (예 : virtualbox)에 넣고 자신감이 생길 때까지 사용하십시오 그것은 시스템을 망치거나 원하지 않는 일을하지 않습니다.

완벽한 솔루션이 아니라 현재로서는 가상 머신이 머신을 원치 않는 시스템으로부터 격리시킬 수있는 가장 좋은 기회입니다.


1

Linux / Unix 용 대부분의 맬웨어 방지 소프트웨어는 Windows 맬웨어 만 검색합니다. 보안 업데이트가 느리거나 오지 않는 경우에도 Linux 맬웨어의 발생은 일반적으로 매우 제한적입니다.

기본적으로 매일 신뢰하고 업데이트하는 소프트웨어 만 사용하므로 안전합니다.


1

또 다른 응답은 말했다 : "항상 탐지 소프트웨어가있는 고양이와 마우스 게임" .
동의하지 않습니다.

이는 맬웨어 탐지를 위해 서명 또는 휴리스틱에 의존하는 접근 방식에 해당됩니다.
그러나 맬웨어를 탐지하는 또 다른 방법이 있습니다. 알려진 상품 확인 :

  • Tripwire , AIDE 등은 디스크의 파일을 확인할 수 있습니다.

  • Second Look 은 실행중인 커널 및 프로세스를 확인할 수 있습니다.
    Second Look은 메모리 포렌식을 사용하여 운영 체제, 활성 서비스 및 응용 프로그램을 직접 검사합니다.
    메모리의 코드를 Linux 배포 공급 업체에서 릴리스 한 코드와 비교합니다. 이러한 방식으로 루트킷과 백도어 및 무단 프로그램 (트로이 목마 등)으로 인한 악의적 인 수정 사항을 즉시 찾아 낼 수 있습니다.

(공개 : 저는 Second Look의 수석 개발자입니다.)


Second Look 은 Ubuntu 소프트웨어 저장소에서 사용할 수 있습니까?
보리스

0

Kaspersky와 avg는 모두 솔루션을 제공하며 McAfee는 Ubuntu에서 사용 가능한 Red Hat 솔루션을 제공합니다. 평균은 여기 있습니다 : http://free.avg.com/us-en/download

이 기사가 흥미로울 것입니다. http://math-www.uni-paderborn.de/~axel/bliss/

나중에 걱정이되는 루트로 무엇이든 실행했다면 다시 설치해야한다는 생각이 있습니다. 전송하는 모든 파일에는 아마도 실행 가능한 비트와 'chmod ugo -x'가 제거되어 있어야합니다.


0

소프트웨어 센터에서 ClamAV를 사용해 볼 수도 있습니다


5
Windows 용 IIRC ClamAV를 만 검색 맬웨어
요한나 라르손에게

아니, 리눅스에는 많은 트로이 목마와 바이러스가 있지만 생존과 확산에 어려움을 겪고 있습니다. 그러나 어쨌든 Clamav는 이들을 탐지 할 수 있습니다 (때로는 실패하지만 모든 알려진 바이러스의 100 % 바이러스 / 트로이 탐지를 주장 할 수있는 안티 바이러스를 알고 있습니까?). ELF32 및 64 (리눅스 이진 형식)와 많은 아카이브 등을 지원합니다.
Huygens
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.