Wie erkenne und entferne ich einen Linux-Trojaner?

Ich bin kürzlich (erneut) darauf gestoßen: Linux-Trojaner bleibt fast ein Jahr lang unbemerkt (Unreal IRCd)

Ja, ich weiß, dass das Hinzufügen einer zufälligen PPA / Software von einer nicht vertrauenswürdigen Quelle zu Problemen (oder Schlimmerem) führt. Ich mache das nie, aber viele machen es (viele Linux-Blogs und -Tabloids fördern das Hinzufügen von PPAs für ausgefallene Apps, ohne zu warnen, dass es Ihr System beschädigen oder schlimmer noch, Ihre Sicherheit gefährden könnte.)

Wie kann ein Trojanisches Pferd oder eine Schurkenanwendung / -schrift erkannt und entfernt werden?

Es ist immer ein Katz- und Mausspiel mit Erkennungssoftware. Neue Malware wird erstellt und die Scanner werden aktualisiert, um sie zu erkennen. Es gibt immer eine Verzögerung zwischen den beiden. Es gibt Programme, die Heuristiken verwenden, die beobachten, welche Software gerade ausgeführt wird, und versuchen, unerwünschte Aktivitäten abzufangen. Meiner Meinung nach ist dies jedoch keine perfekte Lösung und verwendet Ressourcen.

Mein Rat ist einfach: Installieren Sie keine Software von Quellen, denen Sie nicht vertrauen. Wenn Sie aber so sind wie ich und der Versuchung nicht entgehen können, legen Sie sie in eine virtuelle Maschine (z. B. eine virtuelle Box) und spielen Sie damit, bis Sie sicher sind Es wird weder Ihr System beschädigen noch Dinge tun, die Sie nicht wollten.

Auch dies ist keine perfekte Lösung, aber im Moment hat eine virtuelle Maschine die beste Chance, Ihre Maschine vor unerwünschten Zugriffen zu schützen.

Die meisten Anti-Malware-Programme für Linux / Unix suchen einfach nach Windows-Malware. Das Auftreten von Linux-Malware war in der Regel sehr begrenzt, selbst wenn die Sicherheitsupdates langsam sind oder nicht verfügbar sind.

Grundsätzlich verwenden Sie nur Software, der Sie vertrauen und die Sie täglich aktualisieren. So bleiben Sie sicher.

In einer anderen Antwort hieß es: "Es ist immer ein Katz- und Mausspiel mit Erkennungssoftware."
Ich stimme dir nicht zu.

Dies gilt für Ansätze, die auf Signaturen oder Heuristiken zur Erkennung von Malware beruhen.
Es gibt jedoch noch eine andere Möglichkeit, Malware zu erkennen: Überprüfen Sie bekannte Waren :

• Tripwire , AIDE usw. können Dateien auf der Festplatte überprüfen.
  

• Second Look kann den laufenden Kernel und die Prozesse überprüfen.
  Second Look verwendet die Speicherforensik, um das Betriebssystem, aktive Dienste und Anwendungen direkt zu überprüfen.
  Es vergleicht den Code im Speicher mit dem vom Linux-Distributionsanbieter veröffentlichten Code. Auf diese Weise können böswillige Änderungen, die von Rootkits und Backdoors vorgenommen wurden, sowie nicht autorisierte Programme (Trojaner usw.) sofort erkannt werden.

(Offenlegung: Ich bin der Hauptentwickler von Second Look.)

Kaspersky und avg bieten beide Lösungen an, und McAfee hat eine für Red Hat, die möglicherweise unter Ubuntu verfügbar ist. Avg ist hier: http://free.avg.com/us-en/download

Diesen Artikel finden Sie vielleicht interessant: http://math-www.uni-paderborn.de/~axel/bliss/

Ich bin der Meinung, dass Sie sich wahrscheinlich neu installieren sollten, wenn Sie irgendetwas als root ausgeführt haben, um das Sie sich später Sorgen machen. Bei allen Dateien, die Sie übertragen, sollte wahrscheinlich auch das ausführbare Bit 'chmod ugo -x' entfernt werden.

Sie können ClamAV auch im Software-Center ausprobieren