So scannen Sie Ihren Linux-Computer nach Viren und Rootkits

So scannen Sie Ihren Linux-Computer nach Viren und Rootkits
⏱️ 5 min read

Befürchten Sie, dass Ihr Linux-Computer mit Malware infiziert ist? Hast du jemals nachgesehen? Linux-Systeme sind zwar weniger anfällig für Malware als Windows, können aber dennoch infiziert werden. Oft sind sie auch weniger offensichtlich kompromittiert.

Es gibt eine Handvoll hervorragender Open-Source-Tools, mit denen Sie überprüfen können, ob Ihr Linux-System Opfer von Malware geworden ist. Obwohl keine Software perfekt ist, haben diese drei einen soliden Ruf und können vertrauenswürdig sein, um die bekanntesten Bedrohungen zu finden.

[FIX] "Kein Internet, Gesichert...
[FIX] "Kein Internet, Gesichert" Windows 10/11| Routech

1. ClamAV

ClamAV ist ein Standard-Antivirenprogramm und wird Ihnen wahrscheinlich am vertrautesten sein. Es gibt auch eine Windows-Version von ClamAV.

Installieren Sie ClamAV und ClamTK

ClamAV und sein grafisches Frontend sind separat verpackt. Dies liegt daran, dass ClamAV auf Wunsch über die Befehlszeile ohne GUI ausgeführt werden kann. Trotzdem ist die grafische Oberfläche ClamTK für die meisten Menschen einfacher. Im Folgenden wird beschrieben, wie Sie es installieren.

Für Debian und Ubuntu-basierte Distribution:

Sie können auch finden clamav und clamtk im Paketmanager Ihrer Distribution, wenn Sie keine Ubuntu-basierte Distribution verwenden.

Nachdem beide Programme installiert wurden, müssen Sie die Virendatenbank aktualisieren. Im Gegensatz zu allem anderen mit ClamAV muss dies als root oder mit erfolgen sudo.

Es besteht die Möglichkeit, dass freshclam wird als Daemon ausgeführt. Um es manuell auszuführen, stoppen Sie den Daemon mit Systemd. Dann können Sie es normal ausführen.

Es wird einige Zeit dauern, also lass ClamAV sich um die Dinge kümmern.

Führen Sie Ihren Scan aus

Klicken Sie vor dem Ausführen des Scans auf die Schaltfläche “Einstellungen” und aktivieren Sie “Dateien mit einem Punkt beginnen”, “Dateien mit mehr als 20 MB scannen” und “Verzeichnisse rekursiv scannen”.

ClamTK-Einstellungen

Kehren Sie zum Hauptmenü zurück und klicken Sie auf “Verzeichnis scannen”. Wählen Sie das Verzeichnis aus, das Sie überprüfen möchten. Wenn Sie den gesamten Computer scannen möchten, wählen Sie “Dateisystem”. Möglicherweise müssen Sie ClamTK über die Befehlszeile mit erneut ausführen sudo damit das funktioniert.

ClamTK-Scannen

Nach Abschluss des Scans zeigt Ihnen ClamTK alle erkannten Bedrohungen an und ermöglicht Ihnen die Auswahl, was mit ihnen geschehen soll. Das Löschen ist natürlich am besten, kann aber das System destabilisieren. Dies hängt von einem Urteilsspruch für Sie ab.

2. Chkrootkit

Der nächste zu installierende Scan ist Chkrootkit. Es sucht nach einer Art von Malware, die für Unix-ähnliche Systeme wie Linux und Mac spezifisch ist – das Rootkit. Wie der Name schon sagt, besteht das Ziel von Rootkits darin, Root-Zugriff auf das Zielsystem zu erhalten.

Chkrootkit durchsucht Systemdateien nach Anzeichen böswilliger Änderungen und vergleicht sie mit einer Datenbank bekannter Rootkits.

Chkrootkit ist in den meisten Distributions-Repositories verfügbar. Installieren Sie es mit Ihrem Paketmanager.

Suchen Sie nach Rootkits

Chkrootkit-Scan

Dieser ist sehr einfach zu bedienen. Führen Sie den Befehl einfach als root oder mit aus sudo.

Eine Liste potenzieller Rootkits wird sehr schnell angezeigt. Es kann einige Zeit dauern, bis Dateien durchsucht werden. Sie sollten neben jedem “nichts gefunden” oder “nicht infiziert” sehen.

Das Programm gibt nach Abschluss keinen Abschlussbericht aus. Gehen Sie daher zurück und überprüfen Sie manuell, ob keine Ergebnisse angezeigt wurden.

Sie können das Programm auch in weiterleiten grep und suchen INFECTED, aber das wird nicht alles fangen.

Bekannte falsch positive Ergebnisse

Es gibt einen seltsamen Fehler mit Chkrootkit, der ein falsches Positiv für Linux / Ebury – Operation Windigo meldet. Dies ist ein seit langem bekannter Fehler, der durch die Einführung von a verursacht wird -G Flagge in SSH. Es gibt einige manuelle Tests, die Sie ausführen können, um zu überprüfen, ob es sich um ein falsch positives Ergebnis handelt.

Führen Sie zunächst Folgendes als root aus.

Es sollte nichts auftauchen. Überprüfen Sie als Nächstes, ob die Malware keinen Unix-Socket verwendet.

Wenn keiner der Befehle Ergebnisse liefert, ist das System sauber.

Es scheint auch ein ziemlich neues falsches Positiv für zu geben tcpd auf Ubuntu. Wenn Ihr System ein positives Ergebnis liefert, untersuchen Sie es weiter. Beachten Sie jedoch, dass das Ergebnis möglicherweise falsch ist.

Sie können auch auf Einträge für stoßen wted. Diese können durch Beschädigungen oder Protokollierungsfehler bei Systemabstürzen verursacht werden. Verwenden last um zu überprüfen, ob die Zeiten mit Neustarts oder Abstürzen übereinstimmen. In diesen Fällen wurden die Ergebnisse wahrscheinlich durch diese Ereignisse und nicht durch böswillige Aktivitäten verursacht.

3. Rkhunter

Rkhunter ist ein weiteres Tool zur Suche nach Rookits. Es ist gut, beide Chkrootkit auf Ihrem System auszuführen, um sicherzustellen, dass nichts durch die Risse rutscht, und um falsch positive Ergebnisse zu überprüfen.

Auch dieser sollte sich in den Repositorys Ihrer Distribution befinden.

Führen Sie Ihren Scan aus

Aktualisieren Sie zunächst die Datenbank von rkhunter.

rkhunter scan

Führen Sie dann Ihren Scan aus.

Das Programm stoppt nach jedem Abschnitt. Sie werden wahrscheinlich einige Warnungen sehen. Viele entstehen aufgrund nicht optimaler Konfigurationen. Wenn der Scan abgeschlossen ist, werden Sie aufgefordert, das vollständige Aktivitätsprotokoll unter anzuzeigen /var/log/rkhunter.log. Dort sehen Sie den Grund für jede Warnung.

Außerdem erhalten Sie eine vollständige Zusammenfassung der Scanergebnisse.

Gedanken schließen

Hoffentlich ist Ihr System sauber geworden. Seien Sie vorsichtig und überprüfen Sie alle Ergebnisse, die Sie erhalten, bevor Sie drastische Maßnahmen ergreifen.

Wenn etwas zu Recht nicht stimmt, wägen Sie Ihre Optionen ab. Wenn Sie ein Rootkit haben, sichern Sie Ihre Dateien und formatieren Sie das Laufwerk. Es gibt wirklich keinen anderen Weg.

Halten Sie diese Programme auf dem neuesten Stand und scannen Sie sie regelmäßig. Sicherheit entwickelt sich ständig weiter und Bedrohungen kommen und gehen. Es liegt an Ihnen, auf dem neuesten Stand und wachsam zu bleiben.

Join our Newsletter and receive offers and updates! ✅

0 0 votes
Article Rating
Avatar of Routech

Routech

Routech is a website that provides technology news, reviews and tips. It covers a wide range of topics including smartphones, laptops, tablets, gaming, gadgets, software, internet and more. The website is updated daily with new articles and videos, and also has a forum where users can discuss technology-related topics.

Das könnte dich auch interessieren …

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x