Comments 131
Десять лучших антивирусов для Linux
Лучших по описанию на сайте издателя?
А где же результаты тестирования на обнаружение?
Нет ни касперского, ни доктор веба. Ну ладно веб в тестах редко участвует, но касперского разве в тестах не участвует?
Если говорить по функционалу, то у веба скажем есть возможность подключения плагинов Кламава — он расширяемый. Есть не только постоянная защита и сканер по требованию, но и файрвол с проверкой трафика
Ну это ладно. Начиная с конца прошлого года огромное количество троянов идет для версий Линукс, используемых в сетевом оборудовании. У веба против этого есть возможность сканирования удаленных систем (роутеров тех же)
Если говорить о домашних пользователях, то нет упоминаний об антивирусах по подписке (SaaS-антивирусах). Там помесячная оплата и возможность включения/отключения в любой момент и самого антивируса и его функционала в рамках подписок
Это по памяти и не заглядывая на сайты обоих антивирусов
Классическая путаница причины со следствием.
Я ж не спорю со всем этим. Просто есть очевидные факты: существует маргинальная (в отношении десктопов) система, которая никому не нужна. Хотите поднять уровень её распространённости до хотя бы OSX? Давайте! Пересаживайте знакомых, мам-пап-бабушек и так далее. Практика показывает, что это не работает.
Спросите у 90%. Вы преувеличиваете элитарность (кстати, ничего хорошего в ней нет) линукса. У меня не один знакомый(ая) его ставили, и очень удобно, и антивирус не нужен, и всё летает… а через неделю опять винда, потому что нет этого, этого или этого.
> А родителям на домашние железки я давно линукс поставил, и всё в порядке.
Вот судя по таким комментариям, весь мир уже должен быть на линуксе, а поди ж ты! Всё на том же уровне и остаётся.
То с чем сталкивался я:
- Гораздо сложнее установить драйвера и ПО для большинства принтеров, сканеров (есть те который, просто подключил и все работает, но такие мне попадались редко). А если кто-то использует какие-нибудь хитрые мультимедийные клавиатуры и мышки, то их настройка может занять кучу времени, точнее поиск того как это сделать, сама настройка, скорей всего, закончится правкой нескольких строк в каком-нибудь конфиге.
- Необходимость иметь именно MS Office, да еще и желательно конкретной версии, так как документ отредактированный в более новой версии может (и такое не редкость) криво отобразится в предыдущей версии. Проверял на 2016, 2010 и 2007 офисах, речь идет об docx файлах. С doc файлами проблем меньше, но и возможности редактирования меньше. С презентациями тоже грустно — сделанная в Open (Libre) Office с большой вероятностью криво откроется в MS Office.
Это, пожалуй, самое основное. По поводу Photoshop — не знаю, мне вполне хватает GIMP, а для векторной графики Inkscape. Я их и на Windows использую. У кого спрашивал по поводу сравнения Photoshop и GIMP, единственный реальный аргумент был в том, что интерфейс Photoshop удобнее. К GIMP сложно привыкнуть после него. Еще слышал, что Photoshop более функционален, но так никто точно и не назвал, чего именно не хватает в GIMP. Исключение — проприетарные конверторы из RAW которые идут вместе с фотоаппаратами. Но это опять же из области поддержки оборудования. Для своего я нашел конвертор, к сожалению, он расчитан на работу фотоаппарата со сменными объективами и не может автоматически исправить искажения созданные моим встроенным объективом с переменным зумом.
Мне тоже Libre Office хватает с головой, и если что-то надо куда-то отправить или где-то показать, то делаю pdf — и никаких проблем. Но когда нужно отправить документ с вставленными картинками, а поверх картинок еще текст под наклоном написанный, вот тут все и разъезжалось в разные стороны. Но такое по разному отображалось и в разных версия MSO.
Кстати 1С 7.7 у меня запускалась на Windows Vista, без виртуалки, да и на Windows 7 тоже. Причем была версия которая требовала перкодировки БД и после этого она переставала работать нормально на Windows XP (требовалась перекодировка), а была версия и с патчем, в которой перекодировки не требовалось. Но это речь о 1С которая работала с локальной БД. А с необходимостью виртуалки я столкнулся позже с каким-то Банк-Клиентом, толи он сам, то ли часть отвечающая за криптографию не работали под Windows 7. Да и под линуксом у меня такое было. Мне понадобился кросс-компилятор для Symbian OS, он был или под Windows или под Linux c ядром 2.xx. А в тот момент уже все популярные дистрибутивы перешли на 3.xx и только debian еще можно было скачать со старым ядром.
Однажды червь пробрался на диски журнала LinuxFormat. И был успешно растиражирован и разослан читателям. Валентин Синицин, как главный редактор, давал пояснения по этому факту. Линукс не пострадал, досталось остальным. На этом случае вопрос о необходимости антивируса на Линукс закрыли. Антивирус нужен для пресечения распространения заразы.
Утро только началось, а уже за сотню разных модификаций.
Как на андроид «Разрешить установку с неизвестных источников, Принять, Далее, Далее, Запустить»?
Значит антивирус для линукса нужен столько же сколько антивирус для андроида?
Для пользователей которых по хорошему и подпускать к компу нельзя и для кулхацкеров сидящих из под рута?
Более подробно об особенностях вирусов и антивирусов под линукс я написал в комментарии уважаемому 0xd34df00d
Скачивание левого софта отпадает — репозитарии
Дыры быстро латаются в opensource программах
Я слежу за запущенными процессами, а также смотрю активность сети.
В общем это многие пользователи и под windows делают в виде виджетов.
В случае ботнета все будет заметно.
Теперь возмем локеры — создаем root пользователя, и в случае проблем под юзером мы просто жмем Ctrl+alt+F1 заходим под рутом и убиваем локер)
Ну а дальше уже легко все прикроется, ведь под windows нет общей системы обновлений для всех программ, вот и выходит, что пользователи используют устаревшие версии с набором багов и дыр.
Под Linux не нужен антивирус по причине того, что проще залатать правильно дыру и залить в репозитарий исправление, чем городить поверх системы костыли, которые будут выполнять ту же функцию)
Дыры быстро латаются в opensource программах
Heartbleed, Shellshock… Не всегда, к сожалению.
а зачем через хартблид ломать средний десктоп домашний, что там интересного? другое дело сервер, где данные кредиток и пароли от платных сервисов:)
Я вообще-то не утверждал, что антивирус панацея. Я сказал, что открытые исходники — тоже, к сожалению, не панацея (хотя в среднем к софту с открытым кодом у меня лично все-таки больше доверия — хартблиды не каждый день находят).
Какой из перечисленный антивирусов ловил Heartbleed/Shellshock до выхода исправлений соответствующего софта?
Дыры быстро латаются в opensource программах
актуальные версии хрома и хромимума вслух сравните, пожалуйста...
А ещё вирусы напрямую заливаются в репозиторий, как показал недавний опыт…
Что будет с репозиториями, когда их популярность будет сравнима с google Play?
А теперь за что? Помню что писал что "+1" это слишком коротко, но все же прислушался мнения того человека который сказал что лучше так.
Я не знаю, могут ли read-only пользователи голосовать за комментарии, но написать публикацию, которая пройдет модерацию — не самое сложное дело.
И в этом весь прикол что проголосовать не могу, а возможно и вообще не смогу из-за некоторых не указанных и не указываемых личностей.
Я не знаю, могут ли read-only пользователи голосовать за комментарии,
Read-only не имею прав что либо делать на сайте кроме чтения. Они как Unregistred/Guest.
Registred Могут писать статьи и комментарии(не старее 10 дней с пре-модерацией n(точного числа я не помню) комментариев), но не могут менять значение кармы.
Verified/Invited могут все кроме админских и модераторских функций.
но написать публикацию, которая пройдет модерацию — не самое сложное дело.
Кому как, я могу писать комментарии, но из меня статьеписатель просто никудышный. Даже придумать(это сложнее всего) пока не могу о чем писать статью. (Поскольку понимаю что получится полнейший бред либо чушь.)
И в этом весь прикол что проголосовать не могу, а возможно и вообще не смогу из-за некоторых не указанных и не указываемых личностей.
Увы, но такова политика данного ресурса. Вы можете ее или принять, или перестать пользоваться. От того, что Вы напишите "+1" в комментариях рейтинг комментария/статьи/автора не изменится. Этот комментарий будет только замусоривать ленту, вызывать недовольство общественности и как результат — уменьшение рейтинга и кармы.
Кому как, я могу писать комментарии, но из меня статьеписатель просто никудышный.
Относитесь к комментариям как к мини-статьям на заданную (публикацией) тему. Тогда и ваш рейтинг не будет уменьшаться, а возможно и поднимется. Часто из комментариев можно получить много полезной информации, и не хотелось бы, чтобы обсуждение прерывалось бессмысленными комментариями.
Тему для публикации придумать не просто, согласен. Но, может быть, Вы читаете какой-нибудь тематический блог на другом языке и можете сделать хороший перевод. А может у вас есть собственный проект — попробуйте его презентовать, вдруг общественности это понравится. Можно попробовать сделать обзор программы (или плагина), которая вам сильно помогает. Или Вы сталкивались с какими-нибудь сложностями в работе и можете поделиться опытом.
Не обязательно, чтобы ваша статья несла что-то принципиально новое. Систематизация разрозненных знаний тоже может быть полезна и хорошо принята модераторами и пользователями Хабра.
Увы, но такова политика данного ресурса. Вы можете ее или принять, или перестать пользоваться. От того, что Вы напишите "+1" в комментариях рейтинг комментария/статьи/автора не изменится. Этот комментарий будет только замусоривать ленту, вызывать недовольство общественности и как результат — уменьшение рейтинга и кармы.
По факту да это так, я не спорю, я поддерживаю такую политику, хоть знаю что сам написал тот комментарий что аж пожаловался сам на минуса, прошу понять и простить.
Относитесь к комментариям как к мини-статьям на заданную (публикацией) тему.
Хорошая идея. Спасибо.
Тогда и ваш рейтинг не будет уменьшаться, а возможно и поднимется.
Мне к сожалению до лампочки этот рейтинг. Меня больше карма беспокоит.
Часто из комментариев можно получить много полезной информации, и не хотелось бы, чтобы обсуждение прерывалось бессмысленными комментариями.
С этим согласен.
Тему для публикации придумать не просто, согласен.
Хотя у меня есть одна идейка, но она больше связана с тематикой (Не)образованной молодежи, но больше уходит в мою личную историю
Но, может быть, Вы читаете какой-нибудь тематический блог на другом языке и можете сделать хороший перевод.
К сожалению блогов я не читаю, но насчет этого думал, но пока нет.
Я не думаю что нормальный перевод получится от человека который изучал германский язык, зная чуток английского языка, немного углубляясь в германский только больше понимал английский, а не германский. Да и который уже стремлюсь забыть ибо нет желания ехать в ФРГ.
А может у вас есть собственный проект — попробуйте его презентовать, вдруг общественности это понравится.
Я конечно пишу небольшой проектик модульного HTTP сервера на Python 2, но я не думаю что clean as glass bottle with a vacuum inside проект будет кому-то нужен.
Можно попробовать сделать обзор программы (или плагина), которая вам сильно помогает.
Ну уж тут точно все эти обзоры программ и плагинов которые мне помогают есть.
Или Вы сталкивались с какими-нибудь сложностями в работе и можете поделиться опытом.
А вот сложности тут уже есть пара идей что можно написать.
Не обязательно, чтобы ваша статья несла что-то принципиально новое.
Согласен, да это не обязательно.
Систематизация разрозненных знаний тоже может быть полезна и хорошо принята модераторами и пользователями Хабра.
Я могу попробовать это сделать, может свою дипломку удастся сюда применить. (Текстовую часть конечно, но я могу сказать точно что это будет просто как cheatsheet.)
:facepalm:
Хоть бы названия правильно переписали — chkrootkit… От слова check, а не chroot! Буква пропущена.
Вот уже 11 лет живу как то без антивируса и все отлично.
Ладно еще на винде ставить антивирус, хотя и там он не особо нужен, но на nix системах?
Не представляю, зачем пользователю антивирус в наше время на дескопной машине.
Принцип Хабра: не знаешь о чем писать — переведи очередной треш с Медиума.
Странно, я когда первый раз столкнулся с ClamAV, как раз на EICAR и проверял, т.к. вирусов под рукой не было :)
И было это лет 10 назад
Ну а если более серьезно отвечать на вопрос в конце статьи, то: никакой. Вирусы как таковые в среде Linux имеют распространение в форме слухов (кто-то даже криптолокер смог под вайн собрать, правда не заработало толком....).
Дыры? Дыры — да находят, латают, через незалатанные проникают… могут напакастить… просто не надо наружу портами ненужными светить и почаще скрипторезку в браузере на десктопе использовать.
Зачем слухи, если есть точные данные? Вот совсем свежее
Троянец, получивший наименование Linux.BackDoor.Hook.1, был обнаружен в библиотеке libz
(https://news.drweb.ru/show/?i=11593)
Мираи все развивается (https://news.drweb.ru/show/?i=11552)
Тут недавно статья была с анализом уязвимостей разных ОС. Там по всем linux платформам уязвимости из топа опасных в огненной лисе и хроме.
А то что пишут
А так… Я не собираюсь вас переубеждать. Вирусов действительно меньше, чем для Андроида и Виндовс. Но в поддержку люди с проблемами приходят.
Мне лично другое интересно. Вы лично верите, что мы с утра написали за сотню линуксовых вирей (раз вы поставили разработчиков антивирусов в ряд с вирусописателями)?
Ну да ладно…
Вот взломанный новостной сайт — как соотносится с «вирусами для Linux»? Сайт там был на Linux или просто CMS дырявая стояла?
А смайлы… Я извиняюсь перед вами. Но вы не представляете — сколько народу действительно так считает. Реально был случай — человек испытательный прошел, подходит и спрашивает — ну я теперь здесь работаю, покажите мне где у нас вирусы пишут?
На каждой второй конференции так или иначе вопрос об этом задают. Люди просто не представляют СКОЛЬКО нам в день приходит новых образцов
Если говорить о том, что я сталкивался — роутеры. Дыр валом, поэтому опрос по сети и заражение. Вторая проблема — уверенность, что линукс по умолчанию крут. Не читаются новости, не ставятся обновления на сервера, выставленные в сеть
Если говорить о новостях — забавно то, что лучше бы их не было (смайл грустный). Как только выходит новость в широкое СМИ, то набегает волна аналогов.
Если есть вопросы по линуксовому вирью — спрашивайте. Могу спросить у вирлаба. На все ответов не обещаю, но спросить могу
А рефлексировать на то, что вирусописателей видят в антивирусописателях — вовсе не стоит. Потому как вирус писать на новостной странице — это тоже вирус (в мозг доверчивых) причем вирус призванный к получению прибыли. И чем такие фейко-новости про очередной linux-вирус так уж сильно отличается от любого крипто-вымогателя?
Если о новостях, то новости у нас, каспера, есета не фейковые. Описания вирусов и все. Обычно трояны попадаются сразу всем, соответственно если разбор будет кривой, в тусовке вспоминать будут долго. Обычно новости кривые у тех, кто сам не имеет статистики по десктопам или нет собственной антивирусной лаборатории. Вопрос выбора источников.
Я бы даже сказал, что мало новостей. Новость о новом трояне/вирусе/черве — ну раз в неделю, ну два. У людей создается впечатление, что вирья мало. А его вагон. Одних шифровальщиков штук 20 в день сигнатур добавляется. А уж довнлоадеров и адвари…
Это реально очень плохо. Недооценка рисков, неверная оценка рисков. Приходишь на конференцию, к заказчику. Спрашиваешь — сколько нам образцов приходит на анализ? Называют цифры 10, 100 и тд. Говоришь — миллион в день. Шок. В чем недооценка рисков — недооценка изменчивости вредоносного ПО. Организации полагаются на антивирус и пренебрегают иными мерами защиты. Они реально полагают, что антивирус должен и может ловить 100% вирья на входе — именно это закладывается в модель защиты
Но переоценка с подачи новостей — тоже не есть гуд (читаем выше про неявное вымогательство).
Но вот вы опять грамотно ушли в сторону от главного вопроса (просто как бы не заметили его)… Где он тот вирус который я без сборки смогу запустить на любом (хотя бы из популярных) Linux-е?
Т.е. бойтесь все у нас есть, а то что больше ни у кого нет и они и найти даже не могут — это их проблемы :)
Ну или трезвый сценарий (ибо палить такие темы за интерес никто не будет, оне денех стоют, хороших), чёрный рынок, есть конструкторы пакости, есть конструкторы упаковщиков и есть услуги по упаковке. Вот и получается иллюзия разнообразия, хотя всё одно и тоже и при желании со стороны антивирусов замечательно «эвристически» распознаётся :-) (например всякими комодами и битдефендорами, но это не про линуксы, ибо там векторы и смыслы атак совсем иные, и способы противостояния нужны соответствующие)
Вообще сейчас рост количества скриптового вирья. Не только для Линукса
Но вот давайте я вам ip дам и вы на компе с этим ip запустите мне bash-скрипт под правами рута? Готовы такое продемонстрировать?
А давай анекдоты рассказывать!
Чукча — неа
Почему?
Сошлют.
Я вот этот чукча. Нельзя представителям компании этого
Прежде чем говорить о вирусах (как я обещал — примеры я подготовлю) — немного по общей ситуации с вирусами и антивирусами под Линукс
1. Линукс — очень прозрачная система. Если так можно ее назвать. В отличии от Windows и Android в ней практически отсутствуют места, где тому же трояну можно спрятаться незаметно для пользователя. Не скажу, что их нет. Есть, но меньше. Отсюда идут и преимущества и проблемы защиты Линукс.
С одной стороны — куда меньше проблем в поиске и удалении вредоносного ПО. Но с другой стороны — и антивирус под Линукс полностью беззащитен. Самозащита в нормальном качестве вряд-ли реализуема, а поэтому любой неизвестный троян может делать все что хочет — ограничиваясь лишь ограничениями прав (соответственно кстати выше требования к админам)
Итог этой части — заражение Линукса в целом опаснее, чем Windows (хотя для Андроида все еще хуже)
2. Антивирус — не SIEM и всякие UEBA. В нем отсутствует развитая аналитика логов. С другой стороны админы не уделяют достаточного внимания защите логов. И вот тут мы переходим к вашему вопросу о векторах атаки. Если вы читаете разборы вирья, то наверно обратили внимание, что зачастую описания процедуры внедрения нет. Это не сокрытие информации. Многие вредоносные программы попадают в антивирусные лаборатории от пользователей. А они в свою очередь присылают только часть вредоносного комплекса. Downloader, первым внедрившийся в систему, давно уже загрузил всю полезную нагрузку, потер логи и стерся с системы. В результате дыра в системе остается необнаруживаемой
Ну и пара примеров из последних новостей для иллюстрации сказанного:
— Linux.BackDoor.Hook.1, был обнаружен в библиотеке libz (https://news.drweb.ru/show/?i=11593)
— Linux.IotReapper (модификация Linux.Mirai. Для взлома устройств Linux.IotReapper запускает эксплойты и проверяет результат их выполнения.
— Linux.ProxyM, запускает на инфицированном Linux-устройстве SOCKS-прокси-сервер. Существуют сборки этого троянца для устройств с архитектурой x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 и SPARC, то есть он может работать на многих «умных» устройствах, таких как роутеры, телевизионные приставки и т. д. (https://news.drweb.ru/show/?i=11503)
Linux.MulDrop.14 — атакует исключительно миникомпьютеры Raspberry Pi. Троянец представляет собой скрипт, в теле которого хранится сжатое и зашифрованное приложение-майнер, которое предназначено для добычи криптовалют. (http://news.drweb.ru/show/?i=11320)
— Linux. Encoder.10 и Linux. Encoder.11. заражено 153 Linux-сервера и более 3400 бизнес-сайтов, которые размещает хостинг-провайдер (https://habrahabr.ru/company/cloud4y/blog/331266)
Защита драйвера от выгрузки и подмены как минимум обеспечивается тем, что винду надо перегрузить — уж это-то пользователь заметит
В Линукс, если на компьютер попадет неизвестный антивирусу вредоносный файл и запустится с нужными правами, то любой модуль ядра можно вынести, как и любой запущенный процесс. Права рута в Линуксе абсолютны (есть конечно грязные хаки, но они системно зависимы, насколько я знаю)
По поводу «как попадает» — увы, не всегда известно. Для этого надо ставить SIEM, обеспечивать защиту логов и их длительное хранение. К сожалению у нас в стране Линукс используется (не считая шлюзов) практически исключительно в малом и среднем бизнесе. У них и антивирус-то не всегда есть
Троянец представляет собой скрипт, в теле которого хранится сжатое и зашифрованное приложение-майнер, которое предназначено для добычи криптовалют
Распаковывается и извлекается, а далее много вариантов
Это ЕМНИП локальная уязвимость./blockquote>
Если посмотрите, то таковых много. Зачастую используется не один троян, а вредоносный комплекс. К нам попадает только часть комплекса. Качественные Downloader'ы у нас редкие гости
Короче, вы почему-то систематически не пишете, как именно вирусня попадает на целевую машину
И не только мы. И с удовольствием бы писали. Как раз в этих местах обычно данных, которые желательно скрывать нету
Как я уже говорил, огромное количество вредоносных программ неизвестно как очутились на зараженной машине. Типа так «Обнаружен пользователем на своём сервере после публикации предыдущего блогпоста». В итоге описание вредоносной программы не будет содержать модели проникновения.
Тем не менее некую статистику привести можно.
Пользователи под Линукс есть, а значит они будут скачивать и устанавливать с сайтов вредоносные файлы. На данный пример как горячие пирожки расходятся майнеры. Устанавливаемый пользователем майнер майнит, но отдает намайненное налево. Или Linux.Lady.1 — троянец, написанный на языке G. Тоже был нам прислан пользователем.
Еще пример
вредоносные программы были обнаружены на серверах, зараженных троянцем Trojan-Downloader.JS.Iframe.auy, который под видом кодека для просмотра видео перенаправляет посетителей на вредоносные сайты для загрузки эксплойтов и других вредоносных программ
Линк.
Забавно кстати, что «На распространяющем спам-сообщения сайте также находится страница с фальшивым антивирусом».
Основной же метод проникновения конечно перебор паролей и эксплойты — здесь без разбора заражаются и сервера и рабочие станции.
Немного примеров.
Естественно первый был Червь Морриса. Общеизвестная вещь, поэтому про него рассказывать не буду.
Пропустим кучу древних вирусов. Почитать про них можно тут.
Ботнеты:
Злоумышленникам удалось доказать возможность создания рабочих ботнет сетей на платформах отличных от Windows, захватив управление над примерно 100 тысячами ADSL мини-маршрутизаторов, c основанной на Linux прошивкой, и задействовав их в качестве единой ботнет сети. Захват управления стал возможен из-за халатности производителей оборудования, допустивших возможность входа с типовым паролем на открытый для внешней сети web-интерфейс или SSH/FTP/telnet порт.
Линк
Взлом ресурсов разработчиков
Начиная с 12 августа на серверах kernel.org находился троян, который записывал пароли, действия пользователей, предоставлял root-доступ и модифицировал ПО на сервере.
Были модифицированы файлы, относящиеся к ssh (openssh, openssh-server и openssh-clients), загрузчик трояна добавлен в rc3.d.
Линк
взлом инфраструктуры проекта PHP
Линк
Взлом системы разработки
Продемонстрирована удачная попытка внедрения бэкдора в код интерпретатора PHP. Судя по тексту заявления, подстановка кода была произведена с целью демонстрации возможности проведения успешной атаки на web-инфраструктуру проекта PHP.
Линк
Эксплойт
Троян распространяется в качестве файла с расширением .mp3, который, при проигрывании в некоторых версиях mpg123, запускает код, рекурсивно удаляющий все файлы из домашнего каталога текущего пользователя.
Линк
Согласно документам, опубликованным WikiLeaks, один из инструментов, используемых Центральным разведывательным управлением США (ЦРУ) для атак Linux-систем, называется OutlawCountry. OutlawCountry описывается его разработчиками как инструмент, который использует модуль ядра для создания скрытой таблицы netfilter на целевой системе Linux
Линк
«бэкдор Linux/Mumblehard для управления различными ОС Linux и BSD — с использованием скриптов на perl
два основных вектора распространения этого вредоносного ПО. Одним из таких векторов было использование лоумышленниками эксплойтов для популярных систем управления содержимым сайтов Joomla и Wordpress. Другой вектор заключался в распространении злоумышленниками пиратских backdoored версий программы DirectMailer для Linux & BSD
Линк
Отдельно нужно отметить Linux/Moose
Linux/Moose может заражать компьютеры внутри сети, при этом обходя защиту устаревших брандмауэров. Для этого используется два различных механизма: первый полагается на слабые настройки брандмауэра, а второй на NAT traversal.
Итого: для заражения Linux-систем злоумышленники в основном полагаются на брутфорс и эксплойты — увы, но апдейты ставятся не всегда. Есть также вредоносные программы, которые ставятся с сайтов — но их куда меньше, чем для Windows. Иные модели атак (взлом инфраструктуры разработки, репозиториев, подмена трафика) используются крайне редко
А решение очень простое: не надо скачивать и устанавливать с сайтов вредоносные файлы.
Уж сколько раз твердили миру. Кто бы спорил
ручками запускать надо
Если система настроена — еще и подтвердить запуск
единственным решением будет антивирус
Как бы распространенный миф, против которого все борются. Естественно нет. Я видел организации, у которых нет антивируса на десктопах и нет инцидентов ИБ и видел компании, закупившие гору софта и легшие при ваннакрае. Антивирус далеко не единственная защита от вредоносных программ. И уж точно не панацея. Но это сильно отдельная тема
Есть только несколько тонких моментов, которые обычно упускается.
— квалификация защищаемого пользователя. Если мы говорим об обычном пользователя, то он сам не может настроить всякие ограничения, так как не является айтишником. В этом случае если нет знакомых айтишников, то деваться некуда и нужно использовать антивирус. Если человек специалист, не лазит по опасным ресурсам и тд, то он может использовать на свой риск иные средства защиты
— финансы и мощности. Антивирус не может поймать все до одного вирусы. Это как бы понятно. Поэтому использование одного антивируса снижает риск, но его не устраняет. Нельзя поставив антивирус безбоязненно кликать по ссылкам. Нужно использовать меры защиты от запуска неизвестных вирусов. И вот тут проблема, так как очень и очень многие компании малого и среднего бизнеса и неготовы запретить свой бардак и не могут это сделать (скажем по финансовым причинам)
Финансы и квалификация. А все остальное — лишь выбранные инструменты и точная оценка рисков
П.С. Если вы довели параною до максимума и на рабочей машине завели PaX+rsbac+selinux+турбозеркалирование, то да, наверняка для вас шифровальщики и прочие поделия ничего не значат.
Я IP даю, а вы запускаете на указанном IP bash-скрипт под текущим пользователем.
Или другой вариант: я готов по указанному вами URL перейти из браузера с той машины на которой вы запустите bash-скрипт под текущим пользователем.
Никаких извратов параноика — стандартная ОС «искаропки» с последними обновлениями. Готовы?
ЗЫ если надо могу подписать документ об отказе в претензиях и прочая прочая, чтобы не подставлять взломщика.
Вопрос в том, что раз linux так дыряв, то тоже самое вы сможете запустить на любом linux компьютере (ip или из браузера).
Да собственно не важно что запускать. Главное запустить. Готовы ВЫ на моём компе удаленно организовать запуск скрипта?
Ну и таки да. Для эксперимента мне ещё придётся вывесить подопытную машину на белый IP. А то так у меня все за роутерами, причём чаще всего не за одним…
… хорошая уязвимость товар штучный, никто в здравом уме, не пустит её на криптолокер, ведь денежку придётся ещё собирать и как-то обналичивать
Самая правильная стратегия защиты, ограничивать и мониторить трафик, «профайлить процессы»…
Не, когда новости про уязвимости, то да иногда успеваешь поместить эксплоит пока не обновления не упали.
Но страшные вирусы про которые даже намека нет про способ распространения/проникновения — это может быть конечно и не фейки… Только опять же — а как проверить?
То есть читая любую новость со статистикой им прогнозами нужно проводить через фильтр, какие компании вендор обслуживает, есть ли у нее собственная лаборатория и тд и тп.
Если касаться вирусов, то обычно в СМИ шквал упоминаний (а не только разбор трояна на профильном разделе) — если заражаются какие заметные компании или украдена туча денег. Отличный пример — ваннакрай и лже петя — весьма не совершенные трояны, но атаковали крупный бизнес и потому им внимание. Одновременно распространялись в разы больше заразившие трояны — про них новостей 0. В итоге туча запросов как защититься от Ваннакрая и ноль про более опасные вещи. Получается перекос знаний о рисках
… а в общем один из популярных заходов в том, что бы спровоцировать не штатное падение приложения, предварительно насрав в память таким образом, что бы нечто из насраного получило управление с привилегиями приложения и далее по списку может быть загрузка тестера который проведёт предварительную разведку и по её итогам загрузит и передаст управление инструменту для повышения привилегий…
В реале всё несколько сложнее, иногда процесс сопровождается «внезапной» перезагрузкой, so внезапные падения процессов и тем паче крэши, админу всегда каг-бэ намекають ;-)
Для заражения ничего можно не делать. В смысле не ставить обновления, не настраивать системы безопасности и тд.
Примеры нечисти я вам подберу, если интересно, но это денек займет
Вирусы как таковые в среде Linux имеют распространение в форме слухов
Недавно чистил старенький shared hosting, майнеров штук 5, парочка троянов и несколько неизвестных программулин, работающих от root.
> Обнаружение и удаление вредоносного ПО.
В списке есть те, кто это не умеет?
> Особенности Comodo
> Отсутствие ложных срабатываний
Самоуверенные ребята…
> Особенности ClamAV
> Совместим с POSIX.
В списке есть несовместимые?
> Из названия этого антивируса, Chkrootkit, можно предположить, что он работает с правами root-пользователя. И на самом деле — так оно и есть. Это, честно говоря, наиболее удачное решение для поиска руткитов на Linux.
Что это за треш? X_X
Работает из терминала.
Поддерживает почтовые службы.
Совместим с POSIX.
Не требует установки.
Это какая-то бездумная копипаста, в которой вы сделали перевод через гуглтранслейт, причем видимо транзитом через пару мертвых языков, или автор действительно видит смысл в этом?
Многие веб разрабочики используют npm, bower и т.п. которые вытягивают неимоверное кол-во js (сейчас взвесил один рабочий проект: node_modules + bower_components ~ 280Mb), и запускают сборку локально (я стараюсь запускать подобное в docker). Что если автор какой нибудь более менее популярной либы встроит (на время) троян, который при запуске пропишет себя (либо подгрузит другой троян) в ~/.bashrc, ~/.profile (+ ещё пачка способов) которые как правило доступны на изменение, будет запускаться каждый раз при старте и может устроить апокалипсис (в пределах пользователя), покрошить документы, исходники, отправить кеши браузеров и др. программ и т.п.
Кто-то как-то предостеригается от подобного, каким образом?
Clamav с начала времён страдал низкой угадываемостью вирусов. Не верите? Вложите eicar в zip и этот zip в другой zip. Всё! Клам даже не попробует проверить глубже одного вложения.
Вся остальная проприетарщина — софт для шпионажа. Не верите? А кто докажет что это не так без сорцов?
Итоги. Антивируса под Linux не было и нет. Контейнеризация или SELinux и… фух, оказывается антивирус и не нужен!
Десять лучших антивирусов для Linux