Wann immer die Debatte vorbei ist Virus y GNU / Linux Es dauert nicht lange, bis der Benutzer angezeigt wird (normalerweise Windows) que Würfel:
«Unter Linux gibt es keine Viren, da die Entwickler dieser Schadprogramme keine Zeit damit verschwenden, etwas für ein Betriebssystem zu tun, das fast niemand verwendet »
Worauf ich immer geantwortet habe:
"Das Problem ist nicht das, aber die Entwickler dieser Schadprogramme werden keine Zeit damit verschwenden, etwas zu erstellen, das mit dem ersten Update des Systems korrigiert wird, selbst in weniger als 24 Stunden."
Und ich habe mich nicht geirrt, wie dieser ausgezeichnete Artikel in der Anzahl 90 (Jahr 2008) vom Todo Linux Magazine. Sein Schauspieler David SantoOrcero bietet uns auf technische Weise (aber leicht zu verstehen) die Erklärung warum GNU / Linux fehlt diese Art von schädlicher Software.
100% empfohlen. Jetzt haben sie mehr als überzeugendes Material, um jeden zum Schweigen zu bringen, der ohne solide Grundlage zu diesem Thema spricht.
Artikel herunterladen (PDF): Mythen und Fakten: Linux und Viren
EDITIERT:
Hier ist der transkribierte Artikel, da wir der Meinung sind, dass das Lesen auf diese Weise viel angenehmer ist:
================================================== ======================
Die Linux- und Virendebatte ist nicht neu. Hin und wieder sehen wir eine E-Mail auf einer Liste, in der gefragt wird, ob es Viren für Linux gibt. und automatisch antwortet jemand bejahend und behauptet, wenn sie nicht populärer sind, liegt es daran, dass Linux nicht so verbreitet ist wie Windows. Es gibt auch häufige Pressemitteilungen von Antiviren-Entwicklern, die besagen, dass sie Versionen von Linux-Viren veröffentlichen.
Persönlich habe ich einige andere Diskussionen mit verschiedenen Personen per E-Mail oder per Verteilerliste darüber geführt, ob unter Linux Viren vorhanden sind oder nicht. Es ist ein Mythos, aber es ist schwierig, einen Mythos oder vielmehr einen Scherz zu zerstören, insbesondere wenn er durch wirtschaftliches Interesse verursacht wird. Jemand ist daran interessiert, die Idee zu vermitteln, dass Linux, wenn es solche Probleme nicht gibt, nur sehr wenige Leute es verwenden.
Zum Zeitpunkt der Veröffentlichung dieses Berichts hätte ich gerne einen endgültigen Text über die Existenz von Viren unter Linux geschrieben. Leider ist es schwierig, etwas Bestimmtes aufzubauen, wenn Aberglaube und wirtschaftliches Interesse weit verbreitet sind.
Wir werden jedoch versuchen, hier ein einigermaßen vollständiges Argument vorzubringen, um die Angriffe aller zu entwaffnen, die darüber streiten wollen.
Was ist ein Virus?
Zunächst definieren wir, was ein Virus ist. Es ist ein Programm, das automatisch kopiert und ausgeführt wird und das darauf abzielt, die normale Funktionsweise eines Computers ohne die Erlaubnis oder das Wissen des Benutzers zu ändern. Zu diesem Zweck ersetzen Viren ausführbare Dateien durch andere, die mit ihrem Code infiziert sind. Die Definition ist Standard und eine einzeilige Zusammenfassung des Wikipedia-Eintrags zu Viren.
Der wichtigste Teil dieser Definition und das, was den Virus von anderer Malware unterscheidet, ist, dass sich ein Virus ohne die Erlaubnis oder das Wissen des Benutzers selbst installiert. Wenn es sich nicht selbst installiert, handelt es sich nicht um einen Virus: Es kann sich um ein Rootkit oder einen Trojaner handeln.
Ein Rootkit ist ein Kernel-Patch, mit dem Sie bestimmte Prozesse vor Dienstprogrammen für Benutzerbereiche verbergen können. Mit anderen Worten, es handelt sich um eine Modifikation des Kernel-Quellcodes, deren Zweck darin besteht, dass die Dienstprogramme, mit denen wir sehen können, was zu einem bestimmten Zeitpunkt ausgeführt wird, keinen bestimmten Prozess oder einen bestimmten Benutzer anzeigen.
Ein Trojaner ist analog: Es handelt sich um eine Änderung des Quellcodes eines bestimmten Dienstes, um bestimmte betrügerische Aktivitäten zu verbergen. In beiden Fällen ist es erforderlich, den Quellcode der genauen auf dem Linux-Computer installierten Version abzurufen, den Code zu patchen, neu zu kompilieren, Administratorrechte zu erhalten, die gepatchte ausführbare Datei zu installieren und den Dienst zu initialisieren - im Fall des Trojaners - oder das Betriebssystem. komplett - im Fall von
Rootkit–. Wie wir sehen, ist der Prozess nicht trivial, und niemand kann dies alles "aus Versehen" tun. Beide erfordern bei ihrer Installation, dass jemand mit Administratorrechten bewusst eine Reihe von Schritten ausführt, um Entscheidungen technischer Art zu treffen.
Dies ist keine unwichtige semantische Nuance: Damit sich ein Virus selbst installieren kann, reicht es aus, ein infiziertes Programm als normaler Benutzer auszuführen. Andererseits ist es für die Installation eines Rootkits oder eines Trojaners wichtig, dass ein böswilliger Mensch persönlich das Root-Konto eines Computers betritt und auf nicht automatisierte Weise eine Reihe von Schritten ausführt, die möglicherweise erkennbar sind. Ein Virus verbreitet sich schnell und effizient. Ein Rootkit oder ein Trojaner benötigt sie, um uns gezielt anzusprechen.
Übertragung von Viren unter Linux:
Der Übertragungsmechanismus eines Virus definiert es daher wirklich als solches und ist die Grundlage für seine Existenz. Ein Betriebssystem reagiert empfindlicher auf Viren, je einfacher es ist, einen effizienten und automatisierten Übertragungsmechanismus zu entwickeln.
Angenommen, wir haben einen Virus, der sich selbst verbreiten will. Angenommen, es wurde von einem normalen Benutzer beim Starten eines Programms unschuldig gestartet. Dieses Virus hat ausschließlich zwei Übertragungsmechanismen:
- Replizieren Sie sich selbst, indem Sie den Speicher anderer Prozesse berühren und sich zur Laufzeit an diesen verankern.
- Öffnen Sie die ausführbaren Dateien des Dateisystems und fügen Sie den Code - payload - zur ausführbaren Datei hinzu.
Alle Viren, die wir als solche betrachten können, haben mindestens einen dieser beiden Übertragungsmechanismen. O die beiden. Es gibt keine Mechanismen mehr.
Denken wir beim ersten Mechanismus an die virtuelle Speicherarchitektur von Linux und an die Funktionsweise von Intel-Prozessoren. Diese haben vier Ringe, die von 0 bis 3 nummeriert sind; Je niedriger die Zahl, desto größer sind die Berechtigungen, die der in diesem Ring ausgeführte Code hat. Diese Ringe entsprechen den Zuständen des Prozessors und daher, was mit einem System in einem bestimmten Ring getan werden kann. Linux verwendet Ring 0 für den Kernel und Ring 3 für Prozesse. Es gibt keinen Prozesscode, der auf Ring 0 ausgeführt wird, und es gibt keinen Kernelcode, der auf Ring 3 ausgeführt wird. Es gibt nur einen einzigen Einstiegspunkt für den Kernel von Ring 3: den 80-Stunden-Interrupt, mit dem aus dem Bereich gesprungen werden kann, in dem er sich befindet Der Benutzercode für den Bereich, in dem sich der Kernelcode befindet.
Die Architektur von Unix im Allgemeinen und Linux im Besonderen macht die Verbreitung von Viren nicht möglich.
Der Kernel, der virtuellen Speicher verwendet, lässt jeden Prozess glauben, dass er den gesamten Speicher für sich hat. Ein Prozess, der in Ring 3 funktioniert, kann nur den dafür konfigurierten virtuellen Speicher für den Ring sehen, in dem er ausgeführt wird. Es ist nicht so, dass das Gedächtnis der anderen Prozesse geschützt ist; ist, dass für einen Prozess der Speicher der anderen außerhalb des Adressraums liegt. Wenn ein Prozess alle Speicheradressen schlagen würde, könnte er nicht einmal auf eine Speicheradresse eines anderen Prozesses verweisen.
Warum kann das nicht betrogen werden?
Um zu ändern, was kommentiert wurde - generieren Sie beispielsweise Einstiegspunkte in Ring 0, ändern Sie Interrupt-Vektoren, ändern Sie den virtuellen Speicher, ändern Sie LGDT… -, ist dies nur ab Ring 0 möglich.
Das heißt, damit ein Prozess den Speicher anderer Prozesse oder den Kernel berühren kann, sollte er der Kernel selbst sein. Und die Tatsache, dass es einen einzigen Einstiegspunkt gibt und dass die Parameter durch Register geleitet werden, erschwert die Falle - tatsächlich wird sie durch das Register geleitet, bis was zu tun ist, was dann als Fall in der Aufmerksamkeitsroutine implementiert wird. die 80h Unterbrechung.
Ein anderes Szenario ist der Fall von Betriebssystemen mit Hunderten von undokumentierten Aufrufen von Ring 0, wo dies möglich ist - es kann immer einen schlecht implementierten vergessenen Aufruf geben, bei dem ein Trap entwickelt werden kann -, aber im Fall eines Betriebssystems mit Ein so einfacher Schrittmechanismus ist es nicht.
Aus diesem Grund verhindert die virtuelle Speicherarchitektur diesen Übertragungsmechanismus. Keine Prozesse - auch nicht solche mit Root-Rechten - können auf den Speicher anderer zugreifen. Wir könnten argumentieren, dass ein Prozess den Kernel sehen kann; Es hat es von seiner logischen Speicheradresse 0xC0000000 zugeordnet. Aufgrund des Prozessorrings, auf dem es ausgeführt wird, können Sie ihn jedoch nicht ändern. würde eine Falle erzeugen, da es sich um Speicherbereiche handelt, die zu einem anderen Ring gehören.
Die "Lösung" wäre ein Programm, das den Kernelcode ändert, wenn es sich um eine Datei handelt. Die Tatsache, dass diese neu kompiliert werden, macht es jedoch unmöglich. Die Binärdatei kann nicht gepatcht werden, da es weltweit Millionen verschiedener Binärkerne gibt. Einfach, dass sie beim Neukompilieren etwas aus der ausführbaren Kernel-Datei eingefügt oder daraus entfernt hatten oder die Größe eines der Labels geändert hatten, die die Kompilierungsversion identifizieren - etwas, das sogar unfreiwillig erfolgt -, dass der binäre Patch nicht angewendet werden konnte. Die Alternative wäre, den Quellcode aus dem Internet herunterzuladen, zu patchen, für die entsprechende Hardware zu konfigurieren, zu kompilieren, zu installieren und den Computer neu zu starten. All dies sollte automatisch von einem Programm durchgeführt werden. Eine ziemliche Herausforderung für den Bereich der künstlichen Intelligenz.
Wie wir sehen können, kann nicht einmal ein Virus als Wurzel diese Barriere überspringen. Die einzige verbleibende Lösung ist die Übertragung zwischen ausführbaren Dateien. Was auch nicht funktioniert, wie wir weiter unten sehen werden.
Meine Erfahrung als Administrator:
In mehr als zehn Jahren habe ich Linux verwaltet, mit Installationen auf Hunderten von Computern in Rechenzentren, Studentenlabors, Unternehmen usw.
- Ich habe noch nie einen Virus bekommen
- Ich habe noch nie jemanden getroffen, der hat
- Ich habe noch nie jemanden getroffen, der jemanden getroffen hat, der ihm passiert ist
Ich kenne mehr Leute, die das Loch Ness Monster gesehen haben als Linux-Viren.
Persönlich gebe ich zu, dass ich rücksichtslos gewesen bin, und ich habe mehrere Programme gestartet, die die selbsternannten "Spezialisten" "Viren für Linux" nennen - von nun an werde ich sie Viren nennen, um den Text nicht pedantisch zu machen -, von meinem üblichen Konto gegen meinen Computer, um zu sehen, ob ein Virus möglich ist: sowohl das Bash-Virus, das dort zirkuliert - und das übrigens keine Dateien infiziert hat - als auch ein Virus, das sehr berühmt wurde und in der Presse erschien. Ich habe versucht, es zu installieren; und nach zwanzig Minuten Arbeit gab ich auf, als ich sah, dass eine seiner Forderungen darin bestand, das tmp-Verzeichnis auf einer Partition vom Typ MSDOS zu haben. Persönlich kenne ich niemanden, der eine bestimmte Partition für tmp erstellt und diese in FAT formatiert.
Tatsächlich erfordern einige sogenannte Viren, die ich für Linux getestet habe, ein hohes Maß an Wissen und die Installation des Root-Passworts. Wir könnten zumindest einen Virus als "beschissen" bezeichnen, wenn er unser aktives Eingreifen benötigt, um die Maschine zu infizieren. Darüber hinaus erfordern sie in einigen Fällen umfassende Kenntnisse über UNIX und das Root-Passwort. Das ist ziemlich weit von der automatischen Installation entfernt, die es sein soll.
Infizierbare Dateien unter Linux infizieren:
Unter Linux kann ein Prozess einfach das tun, was sein effektiver Benutzer und seine effektive Gruppe zulassen. Es gibt zwar Mechanismen, um den echten Benutzer gegen Bargeld auszutauschen, aber sonst wenig. Wenn wir uns ansehen, wo sich die ausführbaren Dateien befinden, werden wir feststellen, dass nur root Schreibrechte sowohl in diesen Verzeichnissen als auch in den enthaltenen Dateien hat. Mit anderen Worten, nur root kann solche Dateien ändern. Dies ist unter Unix seit den 70er Jahren, unter Linux seit seinen Anfängen und in einem Dateisystem, das Berechtigungen unterstützt, noch kein Fehler aufgetreten, der ein anderes Verhalten zulässt. Die Struktur der ausführbaren ELF-Dateien ist bekannt und gut dokumentiert, so dass es technisch möglich ist, dass eine Datei dieses Typs die Nutzdaten in eine andere ELF-Datei lädt ... solange der effektive Benutzer der ersteren oder die effektive Gruppe der ersteren über Zugriffsrechte verfügt. Lesen, Schreiben und Ausführen der zweiten Datei. Wie viele ausführbare Dateien des Dateisystems könnte es als normaler Benutzer infizieren?
Diese Frage hat eine einfache Antwort. Wenn wir wissen möchten, wie viele Dateien wir "infizieren" könnten, starten wir den Befehl:
$ find / -type f -perm -o=rwx -o \( -perm -g=rwx -group `id -g` \) -o \( -perm -u=rwx -user `id -u` \) -print 2> /dev/null | grep -v /proc
Wir schließen das Verzeichnis / proc aus, da es sich um ein virtuelles Dateisystem handelt, das Informationen zur Funktionsweise des Betriebssystems anzeigt. Die Dateitypdateien mit Ausführungsberechtigungen, die wir finden, stellen kein Problem dar, da es sich häufig um virtuelle Links handelt, die gelesen, geschrieben und ausgeführt zu werden scheinen. Wenn ein Benutzer es versucht, funktioniert dies nie. Wir schließen auch zahlreiche Fehler aus - da es insbesondere in / proc und / home viele Verzeichnisse gibt, in die ein gewöhnlicher Benutzer nicht eintreten kann -. Dieses Skript dauert lange. In unserem speziellen Fall lautete die Antwort auf einer Maschine, auf der vier Personen arbeiten:
/tmp/.ICE-unix/dcop52651205225188
/tmp/.ICE-unix/5279
/home/irbis/kradview-1.2/src
/kradview
Die Ausgabe zeigt drei Dateien, die infiziert werden könnten, wenn ein hypothetischer Virus ausgeführt würde. Die ersten beiden sind Unix-Socket-Dateien, die beim Start gelöscht werden und nicht von einem Virus befallen werden können, und die dritte ist eine Datei eines in der Entwicklung befindlichen Programms, die bei jeder Neukompilierung gelöscht wird. Aus praktischer Sicht würde sich das Virus nicht verbreiten.
Nach dem, was wir sehen, besteht die einzige Möglichkeit, die Nutzlast zu verteilen, darin, root zu sein. In diesem Fall müssen Benutzer immer über Administratorrechte verfügen, damit ein Virus funktioniert. In diesem Fall kann es Dateien infizieren. Aber hier kommt der Haken: Um die Infektion zu übertragen, müssen Sie eine andere ausführbare Datei nehmen, sie an einen anderen Benutzer senden, der den Computer nur als Root verwendet, und den Vorgang wiederholen.
In Betriebssystemen, in denen es erforderlich ist, Administrator für allgemeine Aufgaben zu sein oder viele tägliche Anwendungen auszuführen, kann dies der Fall sein. Unter Unix muss es jedoch ein Administrator sein, um den Computer zu konfigurieren und die Konfigurationsdateien zu ändern, sodass die Anzahl der Benutzer, die das Root-Konto als tägliches Konto verwendet, gering ist. Es ist mehr; Bei einigen Linux-Distributionen ist das Root-Konto nicht einmal aktiviert. Wenn Sie in fast allen Fällen auf die grafische Umgebung als solche zugreifen, ändert sich der Hintergrund in intensives Rot, und konstante Meldungen werden wiederholt, um Sie daran zu erinnern, dass dieses Konto nicht verwendet werden sollte.
Schließlich kann alles, was als root ausgeführt werden muss, mit einem sudo-Befehl ohne Risiko ausgeführt werden.
Aus diesem Grund kann eine ausführbare Datei unter Linux keine anderen infizieren, solange wir das Root-Konto nicht als Konto für die allgemeine Verwendung verwenden. Und obwohl Antiviren-Unternehmen darauf bestehen zu sagen, dass es Viren für Linux gibt, ist das Beste, was unter Linux erstellt werden kann, ein Trojaner im Benutzerbereich. Die einzige Möglichkeit, wie diese Trojaner etwas auf dem System beeinflussen können, besteht darin, es als Root und mit den erforderlichen Berechtigungen auszuführen. Wenn wir den Computer normalerweise als normale Benutzer verwenden, kann ein von einem normalen Benutzer gestarteter Prozess das System nicht infizieren.
Mythen und Lügen:
Wir finden viele Mythen, Scherze und einfach nur Lügen über Viren unter Linux. Lassen Sie uns eine Liste von ihnen erstellen, basierend auf einer Diskussion, die vor einiger Zeit mit einem Vertreter eines Herstellers von Antivirenprogrammen für Linux stattgefunden hat, der von einem Artikel, der in derselben Zeitschrift veröffentlicht wurde, sehr beleidigt war.
Diese Diskussion ist ein gutes Referenzbeispiel, da sie alle Aspekte von Viren unter Linux berührt. Wir werden alle diese Mythen einzeln überprüfen, wie sie in dieser speziellen Diskussion kommentiert wurden, die aber in anderen Foren so oft wiederholt wurde.
Mythos 1:
"Nicht alle Schadprogramme, insbesondere Viren, benötigen Root-Berechtigungen zum Infizieren, insbesondere im Fall von ausführbaren Viren (ELF-Format), die andere ausführbare Dateien infizieren".Respuesta:
Wer einen solchen Anspruch geltend macht, weiß nicht, wie das Unix-Berechtigungssystem funktioniert. Um eine Datei zu beeinflussen, muss ein Virus die Berechtigung zum Lesen - es muss gelesen werden, um sie zu ändern - und zum Schreiben - es muss geschrieben werden, damit die Änderung gültig ist - für die ausführbare Datei haben, die er ausführen möchte.
Dies ist ausnahmslos immer der Fall. In jeder Distribution verfügen Nicht-Root-Benutzer nicht über diese Berechtigungen. Dann ist die Infektion einfach nicht möglich, wenn man nicht wurzelt. Empirischer Test: Im vorherigen Abschnitt haben wir ein einfaches Skript gesehen, um den Dateibereich zu überprüfen, der von einer Infektion betroffen sein kann. Wenn wir es auf unserem Computer starten, werden wir sehen, wie vernachlässigbar es ist und in Bezug auf Systemdateien null. Im Gegensatz zu Betriebssystemen wie Windows benötigen Sie keine Administratorrechte, um allgemeine Aufgaben mit Programmen auszuführen, die häufig von normalen Benutzern verwendet werden.Mythos 2:
"Sie müssen auch nicht root sein, um remote in das System zu gelangen, im Fall von Slapper, einem Wurm, der im September 2002 unter Ausnutzung einer Sicherheitsanfälligkeit in Apaches SSL (den Zertifikaten, die eine sichere Kommunikation ermöglichen) ein eigenes Netzwerk von Zombie-Maschinen erstellt hat".Respuesta:
Dieses Beispiel bezieht sich nicht auf einen Virus, sondern auf einen Wurm. Der Unterschied ist sehr wichtig: Ein Wurm ist ein Programm, das einen Dienst ausnutzt, den das Internet selbst überträgt. Lokale Programme sind davon nicht betroffen. Daher sind nur Server betroffen. nicht zu bestimmten Maschinen.
Die Würmer waren schon immer sehr selten und nur selten anzutreffen. Die drei wirklich wichtigen wurden in den 80er Jahren geboren, als das Internet unschuldig war und jeder jedem vertraute. Denken wir daran, dass sie diejenigen waren, die sendmail, fingerd und rexec betrafen. Heute sind die Dinge komplizierter. Obwohl wir nicht leugnen können, dass sie bleiben und dass sie, wenn sie nicht kontrolliert werden, äußerst gefährlich sind. Aber jetzt sind die Reaktionszeiten auf Würmer sehr kurz. Dies ist beim Slapper der Fall: Ein Wurm, der aufgrund einer Sicherheitsanfälligkeit erstellt wurde, die zwei Monate vor dem Auftreten des Wurms selbst entdeckt und gepatcht wurde.
Selbst wenn angenommen worden wäre, dass jeder, der Linux verwendet, Apache ständig installiert und ausgeführt hat, wäre es mehr als genug gewesen, die Pakete monatlich zu aktualisieren, um niemals Risiken einzugehen.
Es ist wahr, dass der von Slapper verursachte SSL-Fehler kritisch war - tatsächlich der größte Fehler in der gesamten Geschichte von SSL2 und SSL3 - und als solcher in wenigen Stunden behoben wurde. Dass zwei Monate, nachdem das Problem gefunden und behoben wurde, jemand einen Wurm auf einen Fehler gemacht hat, der bereits behoben wurde, und dass dies das mächtigste Beispiel ist, das als Sicherheitslücke angegeben werden kann, zumindest beruhigt es.
In der Regel besteht die Lösung für Würmer nicht darin, ein Antivirenprogramm zu kaufen, es zu installieren und Rechenzeit zu verschwenden, um es resident zu halten. Die Lösung besteht darin, das Sicherheitsupdate-System unserer Distribution zu verwenden: Wenn die Distribution aktualisiert wird, gibt es keine Probleme. Es ist auch aus zwei Gründen eine gute Idee, nur die Dienste auszuführen, die wir benötigen: Wir verbessern den Ressourceneinsatz und vermeiden Sicherheitsprobleme.Mythos 3:
"Ich denke nicht, dass der Kern unverwundbar ist. Tatsächlich gibt es eine Gruppe von Schadprogrammen namens LRK (Linux Rootkits Kernel), die genau darauf beruhen, dass sie Schwachstellen in Kernelmodulen ausnutzen und die Systembinärdateien ersetzen.".Respuesta:
Ein Rootkit ist im Grunde ein Kernel-Patch, mit dem Sie die Existenz bestimmter Benutzer und Prozesse vor den üblichen Tools verbergen können, da diese nicht im Verzeichnis / proc angezeigt werden. Das Normale ist, dass sie es am Ende eines Angriffs verwenden. Zunächst werden sie eine Remote-Sicherheitslücke ausnutzen, um Zugriff auf unseren Computer zu erhalten. Anschließend führen sie eine Reihe von Angriffen durch, um die Berechtigungen zu erweitern, bis sie über das Root-Konto verfügen. Das Problem dabei ist, wie ein Dienst auf unserem Computer installiert wird, ohne dass er erkannt wird: Hier kommt das Rootkit ins Spiel. Es wird ein Benutzer erstellt, der der effektive Benutzer des Dienstes ist, den wir ausblenden möchten. Er installiert das Rootkit und verbirgt sowohl diesen Benutzer als auch alle Prozesse, die zu diesem Benutzer gehören.
Wie man die Existenz eines Benutzers verbirgt, ist für einen Virus nützlich. Wir könnten ausführlich darüber diskutieren, aber ein Virus, der ein Rootkit verwendet, um sich selbst zu installieren, scheint Spaß zu machen. Stellen wir uns die Mechanik des Virus vor (im Pseudocode):
1) Der Virus gelangt in das System.
2) Suchen Sie den Kernel-Quellcode. Wenn nicht, installiert er es selbst.
3) Konfigurieren Sie den Kernel für die Hardwareoptionen, die für den betreffenden Computer gelten.
4) Kompilieren Sie den Kernel.
5) Installieren Sie den neuen Kernel. Ändern Sie gegebenenfalls LILO oder GRUB.
6) Starten Sie den Computer neu.Die Schritte (5) und (6) erfordern Root-Rechte. Es ist etwas kompliziert, dass die Schritte (4) und (6) von den Infizierten nicht erkannt werden. Aber das Lustige ist, dass es jemanden gibt, der glaubt, dass es ein Programm gibt, das Schritt (2) und (3) automatisch ausführen kann.
Wenn wir jemanden treffen, der uns sagt, "wenn es mehr Linux-Computer gibt, gibt es mehr Viren" und empfiehlt, "ein Antivirenprogramm zu installieren und es ständig zu aktualisieren", hängt dies möglicherweise mit dem Unternehmen zusammen, das das Antivirenprogramm vermarktet und Updates. Seien Sie vorsichtig, möglicherweise der gleiche Besitzer.
Antivirus für Linux:
Es ist wahr, dass es gute Antivirenprogramme für Linux gibt. Das Problem ist, dass sie nicht das tun, was Antiviren-Befürworter argumentieren. Seine Funktion besteht darin, die E-Mails zu filtern, die von Malware und Viren an Windows übertragen werden, und das Vorhandensein von Windows-Viren in über SAMBA exportierten Ordnern zu überprüfen. Wenn wir unseren Computer als Mail-Gateway oder als NAS für Windows-Computer verwenden, können wir sie schützen.
Muschel-AV:
Wir werden unseren Bericht nicht beenden, ohne über das Hauptantivirus für GNU / Linux zu sprechen: ClamAV.
ClamAV ist ein sehr leistungsfähiges GPL-Antivirenprogramm, das für die meisten auf dem Markt erhältlichen Unix-Dateien kompiliert wird. Es dient zum Analysieren von Anhängen an E-Mail-Nachrichten, die über die Station gesendet werden, und zum Filtern nach Viren.
Diese Anwendung lässt sich perfekt in sendmail integrieren, um das Filtern von Viren zu ermöglichen, die auf den Linux-Servern gespeichert werden können, die E-Mails an Unternehmen senden. mit einer Virendatenbank, die täglich aktualisiert wird und digitale Unterstützung bietet. Die Datenbank wird mehrmals täglich aktualisiert und ist ein lebendiges und sehr interessantes Projekt.
Dieses leistungsstarke Programm kann Viren auch in Anhängen in komplexeren zu öffnenden Formaten wie RAR (2.0), Zip, Gzip, Bzip2, Tar, MS OLE2, MS Cabinet-Dateien, MS CHM (HTML COprinted) und MS analysieren SZDD.
ClamAV unterstützt auch Mail-Dateien im Mbox-, Maildir- und RAW-Format sowie Portable Executable-Dateien, die mit UPX, FSG und Petite komprimiert wurden. Das Clam AV- und das Spamassassin-Paar sind das perfekte Paar, um unsere Windows-Clients vor Unix-Mailservern zu schützen.
FAZIT
Zur Frage Gibt es Schwachstellen in Linux-Systemen? Die Antwort ist sicherlich ja.
Niemand, der bei klarem Verstand ist, zweifelt daran. Linux ist nicht OpenBSD. Eine andere Sache ist das Schwachstellenfenster eines Linux-Systems, das ordnungsgemäß aktualisiert wurde. Wenn wir uns fragen, gibt es Tools, um diese Sicherheitslücken auszunutzen und auszunutzen? Ja, aber das sind keine Viren, sondern Exploits.
Der Virus muss einige weitere Schwierigkeiten überwinden, die von Windows-Verteidigern immer als Linux-Fehler / Problem eingestuft wurden und die die Existenz echter Viren erschweren - Kernel, die neu kompiliert werden, viele Versionen vieler Anwendungen, viele Distributionen, Dinge, die Sie werden nicht automatisch transparent an den Benutzer usw. weitergegeben. Die aktuellen theoretischen "Viren" müssen manuell vom Root-Konto installiert werden. Das kann aber nicht als Virus angesehen werden.
Wie ich meinen Schülern immer sage: Glaub mir bitte nicht. Laden Sie ein Rootkit herunter und installieren Sie es auf dem Computer. Und wenn Sie mehr wollen, lesen Sie den Quellcode der "Viren" auf dem Markt. Die Wahrheit ist im Quellcode. Es ist schwierig für einen "selbsternannten" Virus, ihn nach dem Lesen seines Codes so zu benennen. Und wenn Sie nicht wissen, wie man Code liest, eine einfache Sicherheitsmaßnahme, die ich empfehle: Verwenden Sie das Root-Konto nur zur Verwaltung des Computers und halten Sie die Sicherheitsupdates auf dem neuesten Stand.
Allein damit können keine Viren in Sie eindringen, und es ist sehr unwahrscheinlich, dass Würmer oder jemand Ihren Computer erfolgreich angreifen.