Как обнаружить и удалить трояна Linux?

Я недавно (повторно) наткнулся на это: троян Linux остается незамеченным в течение почти года (Unreal IRCd)

Да, я знаю, что добавление некоторого случайного PPA / программного обеспечения из ненадежного источника вызывает проблемы (или хуже). Я никогда не делаю этого, но многие делают (многие блоги и таблоиды Linux продвигают добавление PPA для модных приложений, без предупреждения, что это может сломать вашу систему или, что еще хуже, поставить под угрозу вашу безопасность.)

Как можно обнаружить и удалить троянский конь или мошенническое приложение / скрипт?

Это всегда игра в кошки-мышки с обнаружением программного обеспечения. Создано новое вредоносное ПО, обновлены сканеры для его обнаружения. Между ними всегда есть отставание. Есть программы, которые используют эвристику, которая следит за тем, что делает программное обеспечение и пытается уловить нежелательную активность, но, на мой взгляд, это не идеальное решение и использует ресурсы.

Мой совет прост: не устанавливайте программное обеспечение из источников, которым вы не доверяете, но если вы похожи на меня и не можете избежать соблазна, поместите их в виртуальную машину (то есть virtualbox) и играйте с ней, пока не будете уверены это не будет мешать вашей системе или делать то, что вы не хотели.

Опять же, не идеальное решение, но на данный момент виртуальная машина имеет наилучшие шансы изолировать вашу машину от нежелательных.

Большинство антивирусных программ для Linux / Unix просто ищет вредоносные программы для Windows. Количество вредоносных программ для Linux обычно очень ограничено, даже в тех случаях, когда обновления безопасности происходят медленно или не приходят.

По сути, вы используете только программное обеспечение, которому доверяете, и обновляете его ежедневно, поэтому вы в безопасности.

Другой ответ сказал: «Это всегда игра в кошки-мышки с программным обеспечением для обнаружения».
Я не согласен.

Это справедливо для подходов, использующих сигнатуры или эвристику для обнаружения вредоносных программ.
Но есть и другой способ обнаружения вредоносных программ: проверить известные товары :

• Tripwire , AIDE и т. Д. Могут проверять файлы на диске.
  

• Second Look может проверить работающее ядро ​​и процессы.
  Second Look использует экспертизу памяти для непосредственной проверки операционной системы, активных служб и приложений.
  Он сравнивает код в памяти с тем, что было выпущено поставщиком дистрибутива Linux. Таким образом, он может немедленно определить вредоносные изменения, сделанные руткитами и бэкдорами, а также неавторизованными программами (троянами и т. Д.).

(Раскрытие информации: я ведущий разработчик Second Look.)

У Kaspersky и avg есть решения, которые они предлагают, а у McAfee есть решение для Red Hat, которое может быть доступно в Ubuntu. avg здесь: http://free.avg.com/us-en/download

Вы можете найти эту статью интересной: http://math-www.uni-paderborn.de/~axel/bliss/

У меня сложилось мнение, что если вы запустили что-либо от имени root, что вас беспокоит позже, вам, вероятно, следует переустановить. любые файлы, которые вы передаете, вероятно, должны иметь удаленный исполняемый бит, а также 'chmod ugo -x'

Вы также можете попробовать ClamAV из центра программного обеспечения