Você está preocupado que o seu computador Linux possa estar infectado com malware? Você já checou? Embora os sistemas Linux tendam a ser menos suscetíveis a malware do que o Windows, eles ainda podem ser infectados. Muitas vezes, eles também estão comprometidos de forma menos óbvia.
Existem várias ferramentas de código aberto excelentes para ajudá-lo a verificar se o seu sistema Linux foi vítima de malware. Embora nenhum software seja perfeito, esses três têm uma reputação sólida e são confiáveis para encontrar a maioria das ameaças conhecidas.
1. ClamAV
ClamAV é um antivírus padrão e provavelmente será o mais familiar para você. Na verdade, também existe uma versão do ClamAV para Windows.
Instale ClamAV e ClamTK
O ClamAV e sua interface gráfica são embalados separadamente. Isso porque o ClamAV pode ser executado a partir da linha de comando sem a GUI, se você escolher. Mesmo assim, a interface gráfica do ClamTK é mais fácil para a maioria das pessoas. A seguir está como instalá-lo.
Para distribuição baseada em Debian e Ubuntu:
sudo apt install clamav clamtk
Você também pode encontrar clamav
e clamtk
no gerenciador de pacotes da sua distribuição se você não estiver usando uma distribuição baseada no Ubuntu.
Depois que os dois programas forem instalados, você deverá atualizar seu banco de dados de vírus. Ao contrário de tudo no ClamAV, isso deve ser feito como root ou com sudo
.
sudo freshclam
Há uma chance de que freshclam
está sendo executado como um daemon. Para executá-lo manualmente, pare o daemon com Systemd. Então, você pode executá-lo normalmente.
sudo systemctl stop clamav-freshclam
Isso vai levar algum tempo, então deixe o ClamAV cuidar de tudo.
Execute sua varredura
Antes de executar a verificação, clique no botão “Configurações” e desmarque “Verificar arquivos começando com um ponto”, “Verificar arquivos com mais de 20 MB” e “Verificar diretórios recursivamente”.
Volte para o menu principal e clique em “Scan A Directory”. Selecione o diretório que deseja verificar. Se você deseja verificar todo o computador, selecione “Sistema de arquivos”. Você pode precisar executar novamente o ClamTK a partir da linha de comando com sudo
para que isso funcione.
Após a conclusão da varredura, o ClamTK apresentará todas as ameaças descobertas e permitirá que você escolha o que fazer com elas. Excluí-los é obviamente melhor, mas pode desestabilizar o sistema. Isso se resume a um julgamento para você.
2. Chkrootkit
A próxima varredura a ser instalada é o Chkrootkit. Ele faz a varredura em busca de um tipo de malware específico para sistemas semelhantes ao Unix, como Linux e Mac – o rootkit. Como o nome sugere, o objetivo dos rootkits é obter acesso root no sistema de destino.
O Chkrootkit verifica os arquivos do sistema em busca de sinais de alterações maliciosas e os verifica em um banco de dados de rootkits conhecidos.
O Chkrootkit está disponível na maioria dos repositórios de distribuição. Instale-o com seu gerenciador de pacotes.
sudo apt install chkrootkit
Verificar rootkits
Este é muito fácil de executar. Basta executar o comando como root ou com sudo
.
sudo chkrootkit
Ele apresentará uma lista de rootkits potenciais muito rapidamente. Ele pode pausar por um tempo enquanto examina os arquivos. Você deve ver “nada encontrado” ou “não infectado” ao lado de cada um.
O programa não dá um relatório final quando termina, então volte e verifique manualmente se nenhum resultado apareceu.
Você também pode canalizar o programa para grep
e procure INFECTED
, mas isso não vai pegar tudo.
Falsos positivos conhecidos
Há um bug estranho com o Chkrootkit que relata um falso positivo para Linux / Ebury – Operação Windigo. Este é um bug conhecido, causado pela introdução de um -G
sinalizar em SSH. Existem alguns testes manuais que você pode executar para verificar se é um falso positivo.
Primeiro, execute o seguinte como root.
find /lib* -type f -name libns2.so
Não deve resultar em nada. Em seguida, verifique se o malware não está usando um soquete Unix.
netstat -nap | grep "@/proc/udevd"
Se nenhum dos comandos apresentar resultados, o sistema está limpo.
Também parece haver um falso positivo relativamente novo para tcpd
no Ubuntu. Se retornar um resultado positivo em seu sistema, investigue mais, mas esteja ciente de que o resultado pode estar incorreto.
Você também pode encontrar entradas para wted
. Eles podem ser causados por corrupção ou erros de registro em falhas do sistema. Usar last
para verificar se os tempos correspondem às reinicializações ou travamentos. Nesses casos, os resultados provavelmente foram causados por esses eventos e não por atividades maliciosas.
3. Rkhunter
Rkhunter é mais uma ferramenta para procurar rookits. É bom executar o Chkrootkit em seu sistema para garantir que nada escapou pelas rachaduras e para verificar falsos positivos.
Novamente, este deve estar nos repositórios de sua distribuição.
sudo apt install rkhunter
Execute sua varredura
Primeiro, atualize o banco de dados do rkhunter.
sudo rkhunter --update
Em seguida, execute sua verificação.
sudo rkhunter --check
O programa irá parar após cada seção. Você provavelmente verá alguns avisos. Muitos surgem devido a configurações abaixo do ideal. Quando a verificação terminar, ele pedirá que você dê uma olhada em seu registro de atividades completo em /var/log/rkhunter.log
. Você pode ver o motivo de cada aviso lá.
Ele também fornece um resumo completo dos resultados da verificação.
Reflexões finais
Felizmente, seu sistema ficou limpo. Seja cuidadoso e verifique todos os resultados que você recebe antes de fazer qualquer coisa drástica.
Se algo está legitimamente errado, pondere suas opções. Se você tiver um rootkit, faça backup de seus arquivos e formate a unidade. Realmente não há outra maneira.
Mantenha esses programas atualizados e faça a varredura regularmente. A segurança está sempre evoluindo e as ameaças vêm e vão. Depende de você manter-se atualizado e vigilante.