Como verificar se há vírus e rootkits em seu computador Linux

Como verificar se há vírus e rootkits em seu computador Linux
⏱️ 5 min read

Você está preocupado que o seu computador Linux possa estar infectado com malware? Você já checou? Embora os sistemas Linux tendam a ser menos suscetíveis a malware do que o Windows, eles ainda podem ser infectados. Muitas vezes, eles também estão comprometidos de forma menos óbvia.

Existem várias ferramentas de código aberto excelentes para ajudá-lo a verificar se o seu sistema Linux foi vítima de malware. Embora nenhum software seja perfeito, esses três têm uma reputação sólida e são confiáveis ​​para encontrar a maioria das ameaças conhecidas.

1. ClamAV

ClamAV é um antivírus padrão e provavelmente será o mais familiar para você. Na verdade, também existe uma versão do ClamAV para Windows.

Instale ClamAV e ClamTK

O ClamAV e sua interface gráfica são embalados separadamente. Isso porque o ClamAV pode ser executado a partir da linha de comando sem a GUI, se você escolher. Mesmo assim, a interface gráfica do ClamTK é mais fácil para a maioria das pessoas. A seguir está como instalá-lo.

Para distribuição baseada em Debian e Ubuntu:

Você também pode encontrar clamav e clamtk no gerenciador de pacotes da sua distribuição se você não estiver usando uma distribuição baseada no Ubuntu.

Depois que os dois programas forem instalados, você deverá atualizar seu banco de dados de vírus. Ao contrário de tudo no ClamAV, isso deve ser feito como root ou com sudo.

Há uma chance de que freshclam está sendo executado como um daemon. Para executá-lo manualmente, pare o daemon com Systemd. Então, você pode executá-lo normalmente.

Isso vai levar algum tempo, então deixe o ClamAV cuidar de tudo.

Execute sua varredura

Antes de executar a verificação, clique no botão “Configurações” e desmarque “Verificar arquivos começando com um ponto”, “Verificar arquivos com mais de 20 MB” e “Verificar diretórios recursivamente”.

Configurações do ClamTK

Volte para o menu principal e clique em “Scan A Directory”. Selecione o diretório que deseja verificar. Se você deseja verificar todo o computador, selecione “Sistema de arquivos”. Você pode precisar executar novamente o ClamTK a partir da linha de comando com sudo para que isso funcione.

Digitalização ClamTK

Após a conclusão da varredura, o ClamTK apresentará todas as ameaças descobertas e permitirá que você escolha o que fazer com elas. Excluí-los é obviamente melhor, mas pode desestabilizar o sistema. Isso se resume a um julgamento para você.

2. Chkrootkit

A próxima varredura a ser instalada é o Chkrootkit. Ele faz a varredura em busca de um tipo de malware específico para sistemas semelhantes ao Unix, como Linux e Mac – o rootkit. Como o nome sugere, o objetivo dos rootkits é obter acesso root no sistema de destino.

O Chkrootkit verifica os arquivos do sistema em busca de sinais de alterações maliciosas e os verifica em um banco de dados de rootkits conhecidos.

O Chkrootkit está disponível na maioria dos repositórios de distribuição. Instale-o com seu gerenciador de pacotes.

Verificar rootkits

Verificação do Chkrootkit

Este é muito fácil de executar. Basta executar o comando como root ou com sudo.

Ele apresentará uma lista de rootkits potenciais muito rapidamente. Ele pode pausar por um tempo enquanto examina os arquivos. Você deve ver “nada encontrado” ou “não infectado” ao lado de cada um.

O programa não dá um relatório final quando termina, então volte e verifique manualmente se nenhum resultado apareceu.

Você também pode canalizar o programa para grep e procure INFECTED, mas isso não vai pegar tudo.

Falsos positivos conhecidos

Há um bug estranho com o Chkrootkit que relata um falso positivo para Linux / Ebury – Operação Windigo. Este é um bug conhecido, causado pela introdução de um -G sinalizar em SSH. Existem alguns testes manuais que você pode executar para verificar se é um falso positivo.

Primeiro, execute o seguinte como root.

Não deve resultar em nada. Em seguida, verifique se o malware não está usando um soquete Unix.

Se nenhum dos comandos apresentar resultados, o sistema está limpo.

Também parece haver um falso positivo relativamente novo para tcpd no Ubuntu. Se retornar um resultado positivo em seu sistema, investigue mais, mas esteja ciente de que o resultado pode estar incorreto.

Você também pode encontrar entradas para wted. Eles podem ser causados ​​por corrupção ou erros de registro em falhas do sistema. Usar last para verificar se os tempos correspondem às reinicializações ou travamentos. Nesses casos, os resultados provavelmente foram causados ​​por esses eventos e não por atividades maliciosas.

3. Rkhunter

Rkhunter é mais uma ferramenta para procurar rookits. É bom executar o Chkrootkit em seu sistema para garantir que nada escapou pelas rachaduras e para verificar falsos positivos.

Novamente, este deve estar nos repositórios de sua distribuição.

Execute sua varredura

Primeiro, atualize o banco de dados do rkhunter.

varredura rkhunter

Em seguida, execute sua verificação.

O programa irá parar após cada seção. Você provavelmente verá alguns avisos. Muitos surgem devido a configurações abaixo do ideal. Quando a verificação terminar, ele pedirá que você dê uma olhada em seu registro de atividades completo em /var/log/rkhunter.log. Você pode ver o motivo de cada aviso lá.

Ele também fornece um resumo completo dos resultados da verificação.

Reflexões finais

Felizmente, seu sistema ficou limpo. Seja cuidadoso e verifique todos os resultados que você recebe antes de fazer qualquer coisa drástica.

Se algo está legitimamente errado, pondere suas opções. Se você tiver um rootkit, faça backup de seus arquivos e formate a unidade. Realmente não há outra maneira.

Mantenha esses programas atualizados e faça a varredura regularmente. A segurança está sempre evoluindo e as ameaças vêm e vão. Depende de você manter-se atualizado e vigilante.

Join our Newsletter and receive offers and updates! ✅

0 0 votes
Article Rating
Avatar of Routech

Routech

Routech is a website that provides technology news, reviews and tips. It covers a wide range of topics including smartphones, laptops, tablets, gaming, gadgets, software, internet and more. The website is updated daily with new articles and videos, and also has a forum where users can discuss technology-related topics.

Você pode gostar...

Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x