如何检测和删除Linux木马？

我最近偶然发现：Linux Trojan几乎被忽略了一年（虚幻IRCd）

是的，我知道从不受信任的来源添加一些随机的PPA /软件会带来麻烦（或更糟）。我从来没有这样做，但是有很多人这样做（许多Linux博客和小报都鼓励为新奇的应用程序添加PPA，而没有警告它可能会破坏您的系统甚至更糟，从而危及您的安全性。）

如何检测和删除特洛伊木马或流氓应用程序/脚本？

它始终是带有检测软件的猫猫游戏。创建了新的恶意软件，扫描程序得到更新以检测到它。两者之间总是存在时滞。有些程序使用启发式方法来观察软件在做什么，并试图捕获不需要的活动，但是在我看来，这不是一个完美的解决方案，而是使用资源。

我的建议很简单，不要从您不信任的来源安装软件，但是如果您像我一样并且无法避免这种诱惑，请将它们放在虚拟机（即virtualbox）中并使用它，直到您确信为止它不会使您的系统崩溃，也不会做您不想要的事情。

再说一次，这不是一个完美的解决方案，但就目前而言，虚拟机最有可能将您的计算机与有害垃圾隔离。

大多数用于Linux / Unix的反恶意软件都只是搜索Windows恶意软件。Linux恶意软件的发生通常非常有限，即使在安全更新缓慢或没有更新的情况下也是如此。

基本上，您只使用每天信任和更新的软件，因此可以保证安全。

另一个答复说： “它总是带有检测软件的猫猫游戏。”
我不同意。

对于依靠签名或试探法检测恶意软件的方法来说，这是正确的。
但是还有另一种检测恶意软件的方法：验证已知商品：

• Tripwire，AIDE等可以验证磁盘上的文件。
  

• Second Look可以验证正在运行的内核和进程。
  Second Look使用内存取证来直接检查操作系统，活动服务和应用程序。
  它将内存中的代码与Linux发行商发布的代码进行比较。这样，它可以立即查明由Rootkit和后门程序以及未经授权的程序（特洛伊木马程序等）进行的恶意修改。

（公开：我是Second Look的首席开发人员。）

卡巴斯基和avg都提供了解决方案，而迈克菲则有一个适用于Red Hat的解决方案，可能会在Ubuntu上提供。平均在这里：http : //free.avg.com/us-en/download

您可能会发现这篇文章很有趣：http : //math-www.uni-paderborn.de/~axel/bliss/

我的想法是，如果您以后以root用户身份运行了任何东西，则可能应该重新安装。您传输的任何文件都应该删除可执行文件位以及“ chmod ugo -x”

您也可以从软件中心尝试ClamAV