Virus di GNU / Linux: Fakta atau Mitos?

Kapanpun debat usai virus y GNU / Linux tidak butuh waktu lama bagi pengguna untuk muncul (biasanya Windows) apa yang dikatakan:

«Di Linux tidak ada virus karena pembuat program jahat ini tidak membuang waktu melakukan sesuatu untuk Sistem Operasi yang hampir tidak digunakan siapa pun »

Yang selalu saya jawab:

"Masalahnya bukan itu, tetapi pembuat program jahat ini tidak akan membuang waktu membuat sesuatu yang akan diperbaiki dengan pembaruan pertama Sistem, bahkan dalam waktu kurang dari 24 jam"

Dan saya tidak salah, karena artikel bagus ini dipublikasikan di Nomor 90 (Tahun 2008) dari Majalah Todo Linux. Aktornya david santo orcero memberi kami cara teknis (tapi mudah dimengerti) penjelasan kenapa GNU / Linux tidak memiliki perangkat lunak berbahaya jenis ini.

100% direkomendasikan. Sekarang mereka akan memiliki lebih dari sekadar bahan yang meyakinkan untuk membungkam siapa pun yang berbicara tanpa dasar yang kuat tentang subjek ini.

Unduh Artikel (PDF): Mitos dan Fakta: Linux dan Virus

DIEDIT:

Ini artikel transkrip, karena kami menganggap jauh lebih nyaman untuk membaca dengan cara ini:

================================================== ======================

Perdebatan Linux dan virus bukanlah hal baru. Seringkali kita melihat email di daftar yang menanyakan apakah ada virus untuk Linux; dan secara otomatis seseorang menjawab dengan tegas dan mengklaim bahwa jika mereka tidak lebih populer itu karena Linux tidak seluas Windows. Sering juga ada siaran pers dari pengembang antivirus yang mengatakan bahwa mereka merilis versi virus Linux.

Secara pribadi saya telah melakukan beberapa diskusi lain dengan orang yang berbeda melalui surat, atau melalui daftar distribusi, mengenai masalah apakah virus ada di Linux atau tidak. Itu hanya mitos, tetapi sulit untuk menghancurkan mitos atau, lebih tepatnya, hoax, apalagi jika hal itu disebabkan oleh kepentingan ekonomi. Seseorang tertarik untuk menyampaikan gagasan bahwa jika Linux tidak memiliki masalah seperti ini, itu karena sangat sedikit orang yang menggunakannya.

Pada saat menerbitkan laporan ini, saya ingin menulis teks yang pasti tentang keberadaan virus di Linux. Sayangnya, ketika takhayul dan kepentingan ekonomi merajalela, sulit membangun sesuatu yang pasti.
Namun, kami akan mencoba membuat argumen yang cukup lengkap di sini untuk melucuti serangan siapa pun yang ingin membantah.

Apa itu virus?

Pertama-tama, kita akan mulai dengan mendefinisikan apa itu virus. Ini adalah program yang menyalin dirinya sendiri dan berjalan secara otomatis, dan bertujuan untuk mengubah fungsi normal komputer, tanpa izin atau sepengetahuan pengguna. Untuk melakukan ini, virus mengganti file yang dapat dijalankan dengan file lain yang terinfeksi dengan kode mereka. Definisi ini standar, dan merupakan ringkasan satu baris dari entri Wikipedia tentang virus.
Bagian terpenting dari definisi ini, dan yang membedakan virus dari malware lain, adalah virus menginstal dirinya sendiri, tanpa izin atau sepengetahuan pengguna. jika tidak terinstal sendiri, itu bukan virus: bisa jadi rootkit, atau Trojan.

Rootkit adalah patch kernel yang memungkinkan Anda menyembunyikan proses tertentu dari utilitas area pengguna. Dengan kata lain, ini adalah modifikasi dari kode sumber kernel yang tujuannya adalah agar utilitas yang memungkinkan kita untuk melihat apa yang sedang berjalan pada waktu tertentu tidak menampilkan proses tertentu, atau pengguna tertentu.

Trojan adalah analogi: ini adalah modifikasi pada kode sumber dari layanan tertentu untuk menyembunyikan aktivitas penipuan tertentu. Dalam kedua kasus tersebut, Anda perlu mendapatkan kode sumber dari versi yang tepat yang diinstal pada mesin Linux, menambal kode, mengkompilasinya ulang, mendapatkan hak administrator, menginstal executable yang dapat ditambal, dan menginisialisasi layanan – dalam kasus Trojan– atau sistem operasi. lengkap - dalam kasus
rootkit–. Prosesnya, seperti yang kita lihat, tidaklah sepele, dan tidak ada yang bisa melakukan semua ini "karena kesalahan". Keduanya mengharuskan dalam instalasi mereka bahwa seseorang dengan hak istimewa administrator, secara sadar, menjalankan serangkaian langkah membuat keputusan yang bersifat teknis.

Yang bukan merupakan nuansa semantik yang tidak penting: agar virus dapat menginstal dirinya sendiri, yang harus kita lakukan adalah menjalankan program yang terinfeksi sebagai pengguna biasa. Di sisi lain, untuk penginstalan rootkit atau Trojan, manusia jahat yang secara pribadi memasuki akun root mesin, dan dengan cara non-otomatis, melakukan serangkaian langkah yang berpotensi dapat terdeteksi. virus menyebar dengan cepat dan efisien; rootkit atau trojan harus secara khusus menargetkan kita.

Penularan virus di Linux:

Mekanisme penularan virus, oleh karena itu, adalah apa yang sebenarnya mendefinisikannya seperti itu, dan merupakan dasar keberadaannya. sistem operasi lebih sensitif terhadap virus, semakin mudah mengembangkan mekanisme transmisi yang efisien dan otomatis.

Misalkan kita memiliki virus yang ingin menyebarkan dirinya sendiri. Misalkan diluncurkan oleh pengguna biasa, secara polos, saat meluncurkan program. Virus ini secara eksklusif memiliki dua mekanisme penularan:

• Replikasi dirinya sendiri dengan menyentuh memori proses lain, menambatkan dirinya sendiri ke proses tersebut saat runtime.
• Membuka file system executable, dan menambahkan kodenya –payload– ke executable.

Semua virus yang dapat kita anggap memiliki setidaknya satu dari dua mekanisme penularan ini. O Dua. Tidak ada lagi mekanisme.
Mengenai mekanisme pertama, mari kita ingat arsitektur memori virtual Linux dan cara kerja prosesor intel. Ini memiliki empat cincin, dinomori dari 0 sampai 3; semakin rendah angkanya, semakin besar hak istimewa yang dimiliki kode yang dijalankan di ring itu. Cincin ini sesuai dengan status prosesor, dan, oleh karena itu, dengan apa yang dapat dilakukan dengan sistem yang berada di ring tertentu. Linux menggunakan ring 0 untuk kernel, dan ring 3 untuk proses. tidak ada kode proses yang berjalan di ring 0, dan tidak ada kode kernel yang berjalan di ring 3. Hanya ada satu titik masuk ke kernel dari ring 3: interupsi 80h, yang memungkinkan lompatan dari area tempatnya berada kode pengguna ke area tempat kode kernel berada.

Arsitektur Unix pada umumnya dan Linux pada khususnya tidak memungkinkan penyebaran virus.

Kernel dengan menggunakan memori virtual membuat setiap proses percaya bahwa ia memiliki semua memori itu sendiri. Sebuah proses - yang bekerja di ring 3 - hanya dapat melihat memori virtual yang telah dikonfigurasi untuk itu, untuk ring tempatnya beroperasi. Ini tidak berarti bahwa memori dari proses lain dilindungi; adalah bahwa untuk satu proses, memori yang lain berada di luar ruang alamat. Jika suatu proses mengalahkan semua alamat memori, itu bahkan tidak dapat merujuk alamat memori dari proses lain.

Mengapa ini tidak bisa ditipu?
Untuk memodifikasi apa yang telah dikomentari –misalnya, buat titik masuk di ring 0, modifikasi vektor interupsi, modifikasi memori virtual, modifikasi LGDT… - hanya mungkin dari ring 0.
Artinya, agar sebuah proses dapat menyentuh memori proses lain atau kernel, itu harus menjadi kernel itu sendiri. Dan fakta bahwa ada satu titik masuk dan bahwa parameter dilewatkan melalui register memperumit perangkap - pada kenyataannya, apa yang harus dilakukan dilewatkan oleh register, yang kemudian diimplementasikan sebagai kasus dalam rutin perhatian. .
Skenario lain adalah kasus sistem operasi dengan ratusan panggilan tidak berdokumen ke dering 0, di mana hal ini dimungkinkan - selalu ada panggilan yang terlupa diimplementasikan dengan buruk di mana perangkap dapat dikembangkan - tetapi dalam kasus sistem operasi dengan seperti itu mekanisme langkah sederhana, tidak.

Untuk alasan ini, arsitektur memori virtual mencegah mekanisme transmisi ini; tidak ada proses - bahkan mereka yang memiliki hak root - tidak memiliki cara untuk mengakses memori orang lain. Kami dapat berargumen bahwa suatu proses dapat melihat kernel; itu telah dipetakan dari alamat memori logis 0xC0000000. Tetapi, karena cincin prosesor yang digunakan, Anda tidak dapat memodifikasinya; akan menghasilkan jebakan, karena ini adalah area memori yang dimiliki oleh cincin lain.

"Solusi" akan menjadi program yang mengubah kode kernel saat berupa file. Tetapi fakta bahwa ini dikompilasi ulang membuatnya tidak mungkin. Anda tidak dapat menambal biner, karena ada jutaan kernel biner berbeda di dunia. Sederhananya ketika mengkompilasi ulang mereka telah meletakkan atau menghapus sesuatu dari kernel yang dapat dieksekusi, atau mereka telah mengubah ukuran salah satu label yang mengidentifikasi versi kompilasi - sesuatu yang dilakukan bahkan tanpa sengaja - tambalan biner tidak dapat diterapkan. Alternatifnya adalah mengunduh kode sumber dari Internet, menambalnya, mengkonfigurasinya untuk perangkat keras yang sesuai, mengkompilasinya, menginstalnya, dan menyalakan ulang mesin. Semua ini harus dilakukan oleh sebuah program, secara otomatis. Tantangan yang cukup untuk bidang Artificial Intelligence.
Seperti yang bisa kita lihat, bahkan virus sebagai root tidak dapat melompati penghalang ini. Satu-satunya solusi yang tersisa adalah transmisi antara file yang dapat dieksekusi. Yang tidak berfungsi baik seperti yang akan kita lihat di bawah.

Pengalaman saya sebagai administrator:

Selama lebih dari sepuluh tahun saya telah mengelola Linux, dengan penginstalan pada ratusan mesin di pusat data, laboratorium siswa, perusahaan, dll.

• Saya tidak pernah "terkena" virus
• Saya belum pernah bertemu seseorang yang pernah
• Saya belum pernah bertemu seseorang yang pernah bertemu seseorang yang pernah

Saya tahu lebih banyak orang yang telah melihat Monster Loch Ness daripada yang melihat virus Linux.
Secara pribadi, saya akui bahwa saya telah sembrono, dan saya telah meluncurkan beberapa program yang disebut "spesialis" yang disebut "virus untuk Linux" - mulai sekarang, saya akan menyebutnya virus, bukan untuk membuat teks bertele-tele -, dari akun saya yang biasa melawan mesin saya untuk melihat apakah virus itu mungkin terjadi: baik virus bash yang beredar di sekitar sana - dan yang, omong-omong, tidak menginfeksi file apa pun - dan virus yang menjadi sangat terkenal, dan muncul di media. Saya mencoba untuk menginstalnya; dan setelah dua puluh menit bekerja, saya menyerah ketika saya melihat bahwa salah satu tuntutannya adalah memiliki direktori tmp pada partisi tipe MSDOS. Saya pribadi tidak tahu ada orang yang membuat partisi khusus untuk tmp dan memformatnya ke FAT.
Faktanya, beberapa yang disebut virus yang telah saya uji untuk Linux membutuhkan pengetahuan tingkat tinggi dan kata sandi root untuk diinstal. Kita dapat memenuhi syarat, paling tidak, sebagai virus yang "menjelekkan" jika membutuhkan intervensi aktif kita untuk menginfeksi mesin. Lebih lanjut, dalam beberapa kasus mereka membutuhkan pengetahuan luas tentang UNIX dan kata sandi root; yang cukup jauh dari penginstalan otomatis yang seharusnya.

Menginfeksi file yang dapat dieksekusi di Linux:

Di Linux, sebuah proses dapat dengan mudah melakukan apa yang diizinkan oleh pengguna yang efektif dan grup yang efektif. Memang benar ada mekanisme untuk menukar pengguna yang sebenarnya dengan uang tunai, tetapi hanya sedikit yang lain. Jika kita melihat di mana executable berada, kita akan melihat bahwa hanya root yang memiliki hak menulis baik di direktori ini maupun di file yang ada. Dengan kata lain, hanya root yang dapat mengubah file tersebut. Ini adalah kasus di Unix sejak tahun 70-an, di Linux sejak awal mulanya, dan dalam sistem file yang mendukung hak istimewa, belum ada kesalahan yang memungkinkan perilaku lain muncul. Struktur file ELF yang dapat dieksekusi dikenal dan didokumentasikan dengan baik, sehingga secara teknis memungkinkan untuk file jenis ini memuat muatan ke file ELF lain ... selama pengguna efektif dari grup pertama atau grup efektif dari pertama memiliki hak akses untuk membaca, menulis, dan menjalankan pada file kedua. Berapa banyak filesystem executable yang dapat diinfeksi sebagai pengguna biasa?
Pertanyaan ini memiliki jawaban yang sederhana, jika kita ingin tahu berapa banyak file yang dapat "menginfeksi", kita jalankan perintah:

$ find / -type f -perm -o=rwx -o \( -perm -g=rwx -group `id -g` \) -o \( -perm -u=rwx -user `id -u` \) -print 2> /dev/null | grep -v /proc

Kami mengecualikan direktori / proc karena ini adalah sistem file virtual yang menampilkan informasi tentang cara kerja sistem operasi. File jenis file dengan hak eksekusi yang akan kita temukan tidak menimbulkan masalah, karena mereka seringkali berupa tautan virtual yang tampaknya dibaca, ditulis dan dijalankan, dan jika pengguna mencoba, itu tidak pernah berfungsi. Kami juga mengesampingkan kesalahan, banyak - karena, terutama di / proc dan / home, ada banyak direktori di mana pengguna biasa tidak bisa masuk -. Skrip ini membutuhkan waktu lama. Dalam kasus khusus kami, pada mesin tempat empat orang bekerja, jawabannya adalah:

/tmp/.ICE-unix/dcop52651205225188
/tmp/.ICE-unix/5279
/home/irbis/kradview-1.2/src
/kradview

Keluarannya menunjukkan tiga file yang dapat terinfeksi jika virus hipotetis dijalankan. Dua yang pertama adalah file tipe soket Unix yang dihapus saat startup –dan tidak dapat dipengaruhi oleh virus–, dan yang ketiga adalah file program pengembangan, yang dihapus setiap kali dikompilasi ulang. Virus, dari sudut pandang praktis, tidak akan menyebar.
Dari apa yang kami lihat, satu-satunya cara untuk menyebarkan muatan adalah dengan menjadi root. Dalam kasus ini, agar virus bekerja, pengguna harus selalu memiliki hak administrator. Dalam hal ini, itu dapat menginfeksi file. Tapi inilah tangkapannya: untuk menyebarkan infeksi, Anda perlu mengambil file executable lain, mengirimkannya ke pengguna lain yang hanya menggunakan mesin sebagai root, dan ulangi prosesnya.
Dalam sistem operasi di mana perlu menjadi administrator untuk tugas-tugas umum atau menjalankan banyak aplikasi sehari-hari, hal ini dapat terjadi. Tetapi di Unix, diperlukan seorang administrator untuk mengkonfigurasi mesin dan mengubah file konfigurasi, sehingga jumlah pengguna yang digunakan akun root sebagai akun harian kecil. Itu lebih; beberapa distribusi Linux bahkan tidak mengaktifkan akun root. Di hampir semuanya, jika Anda mengakses lingkungan grafis seperti itu, latar belakang berubah menjadi merah pekat, dan pesan konstan diulang untuk mengingatkan Anda bahwa akun ini tidak boleh digunakan.
Akhirnya, semua yang harus dilakukan sebagai root dapat dilakukan dengan perintah sudo tanpa risiko.
Untuk alasan ini, di Linux, sebuah executable tidak dapat menginfeksi orang lain selama kami tidak menggunakan akun root sebagai akun penggunaan umum; Dan meskipun perusahaan antivirus bersikeras mengatakan bahwa ada virus untuk Linux, sebenarnya hal terdekat yang dapat dibuat di Linux adalah Trojan di area pengguna. Satu-satunya cara Trojan ini dapat memengaruhi sesuatu pada sistem adalah dengan menjalankannya sebagai root dan dengan hak istimewa yang diperlukan. Jika kita biasanya menggunakan mesin sebagai pengguna biasa, tidak mungkin proses yang diluncurkan oleh pengguna biasa menginfeksi sistem.

Mitos dan kebohongan:

Kami menemukan banyak mitos, tipuan, dan kebohongan biasa tentang virus di Linux. Mari kita buat daftarnya berdasarkan diskusi yang berlangsung beberapa waktu lalu dengan perwakilan produsen antivirus untuk Linux yang sangat tersinggung dengan artikel yang dimuat di majalah yang sama ini.
Diskusi tersebut merupakan contoh referensi yang baik, karena menyentuh semua aspek virus di Linux. Kami akan meninjau semua mitos ini satu per satu karena mereka telah dibahas dalam diskusi khusus itu, tetapi yang telah berulang kali diulang di forum lain.

Mitos 1:
"Tidak semua program berbahaya, terutama virus, memerlukan hak akses root untuk menginfeksi, terutama dalam kasus tertentu virus yang dapat dijalankan (format ELF) yang menginfeksi file yang dapat dijalankan lainnya".

Jawaban:
Siapa pun yang membuat klaim seperti itu tidak tahu bagaimana sistem hak istimewa Unix bekerja. Untuk mempengaruhi file, virus memerlukan hak istimewa untuk membaca –itu harus dibaca untuk memodifikasinya–, dan menulis –itu harus ditulis agar modifikasi menjadi valid– pada file yang dapat dieksekusi yang ingin dijalankan.
Ini selalu terjadi, tanpa pengecualian. Dan di setiap distribusi, pengguna non-root tidak memiliki hak istimewa ini. Maka hanya dengan tidak menjadi root, infeksi tidak mungkin dilakukan. Uji empiris: Di bagian sebelumnya kita melihat skrip sederhana untuk memeriksa berbagai file yang dapat terpengaruh oleh infeksi. Jika kami meluncurkannya di komputer kami, kami akan melihat bagaimana hal itu dapat diabaikan, dan sehubungan dengan file sistem, null. Selain itu, tidak seperti sistem operasi seperti Windows, Anda tidak memerlukan hak administrator untuk melakukan tugas umum dengan program yang biasa digunakan oleh pengguna biasa.

Mitos 2:
"Mereka juga tidak perlu menjadi root untuk memasuki sistem dari jarak jauh, dalam kasus Slapper, worm yang, mengeksploitasi kerentanan di SSL Apache (sertifikat yang memungkinkan komunikasi aman), membuat jaringan sendiri dari mesin zombie pada September 2002".

Jawaban:
Contoh ini tidak mengacu pada virus, tetapi worm. Perbedaannya sangat penting: worm adalah program yang mengeksploitasi layanan agar Internet mengirimkan dirinya sendiri. Itu tidak mempengaruhi program lokal. Oleh karena itu, ini hanya mempengaruhi server; bukan untuk mesin tertentu.
Cacing selalu sangat sedikit dan insidennya dapat diabaikan. Tiga hal yang sangat penting lahir di tahun 80-an, saat Internet tidak ada artinya, dan semua orang mempercayai semua orang. Ingatlah bahwa merekalah yang memengaruhi sendmail, fingerd, dan rexec. Hari ini segalanya menjadi lebih rumit. Meskipun kita tidak dapat menyangkal bahwa mereka tetap ada dan, jika tidak dikendalikan, mereka sangat berbahaya. Tetapi sekarang, waktu reaksi terhadap cacing sangat singkat. Ini adalah kasus Slapper: cacing yang dibuat pada kerentanan ditemukan - dan ditambal - dua bulan sebelum munculnya cacing itu sendiri.
Bahkan dengan asumsi bahwa setiap orang yang menggunakan Linux telah menginstal dan menjalankan Apache sepanjang waktu, hanya memperbarui paket setiap bulan sudah lebih dari cukup untuk tidak pernah menjalankan risiko apa pun.
Memang benar bahwa bug SSL yang disebabkan oleh Slapper sangat penting - pada kenyataannya, bug terbesar yang ditemukan di seluruh sejarah SSL2 dan SSL3 - dan dengan demikian diperbaiki dalam beberapa jam. Bahwa dua bulan setelah masalah ini ditemukan dan dipecahkan, seseorang membuat worm pada bug yang telah diperbaiki, dan ini adalah contoh paling kuat yang dapat diberikan sebagai kerentanan, setidaknya itu meyakinkan.
Sebagai aturan umum, solusi untuk worm bukanlah dengan membeli antivirus, menginstalnya dan membuang waktu komputasi untuk membuatnya tetap diam. Solusinya adalah dengan memanfaatkan sistem pembaruan keamanan dari distribusi kami: setelah distribusi diperbarui, tidak akan ada masalah. Menjalankan hanya layanan yang kami butuhkan juga merupakan ide yang baik karena dua alasan: kami meningkatkan penggunaan sumber daya, dan kami menghindari masalah keamanan.

Mitos 3:
"Saya tidak berpikir intinya kebal. Faktanya, ada sekelompok program jahat yang disebut LRK (Linux Rootkits Kernel), yang secara tepat didasarkan pada eksploitasi kerentanan dalam modul kernel dan menggantikan binari sistem.".

Jawaban:
Rootkit pada dasarnya adalah sebuah tambalan kernel yang memungkinkan Anda menyembunyikan keberadaan pengguna dan proses tertentu dari alat biasa, berkat fakta bahwa mereka tidak akan muncul di direktori / proc. Hal yang normal adalah mereka menggunakannya pada akhir serangan, pertama-tama, mereka akan mengeksploitasi kerentanan jarak jauh untuk mendapatkan akses ke mesin kita. Kemudian mereka akan melakukan serangkaian serangan, untuk meningkatkan hak istimewa sampai mereka memiliki akun root. Masalah ketika mereka melakukannya adalah bagaimana menginstal layanan di mesin kami tanpa terdeteksi: di situlah rootkit masuk. Seorang pengguna dibuat yang akan menjadi pengguna efektif dari layanan yang ingin kita sembunyikan, mereka menginstal rootkit, dan mereka menyembunyikan pengguna itu dan semua proses milik pengguna itu.
Cara menyembunyikan keberadaan pengguna yang berguna bagi virus adalah sesuatu yang bisa kita bahas panjang lebar, tetapi virus yang menggunakan rootkit untuk menginstal sendiri tampaknya menyenangkan. Bayangkan mekanisme virus (dalam pseudocode):
1) Virus memasuki sistem.
2) Temukan kode sumber kernel. Jika tidak, dia menginstalnya sendiri.
3) Konfigurasi kernel untuk opsi perangkat keras yang berlaku untuk mesin yang dimaksud.
4) Kompilasi kernel.
5) Instal kernel baru; memodifikasi LILO atau GRUB jika perlu.
6) Nyalakan ulang mesin.

Langkah (5) dan (6) membutuhkan hak akses root. Agak rumit bahwa langkah (4) dan (6) tidak terdeteksi oleh yang terinfeksi. Namun lucunya ada seseorang yang percaya bahwa ada program yang bisa melakukan langkah (2) dan (3) secara otomatis.
Sebagai puncaknya, jika kita bertemu seseorang yang memberi tahu kita "ketika ada lebih banyak mesin Linux akan ada lebih banyak virus", dan merekomendasikan "untuk menginstal antivirus dan memperbaruinya terus-menerus", mungkin itu terkait dengan perusahaan yang memasarkan antivirus dan pembaruan. Curiga, mungkin pemilik yang sama.

Antivirus untuk Linux:

Memang benar ada antivirus yang bagus untuk Linux. Masalahnya adalah, mereka tidak melakukan apa yang dikatakan oleh para pendukung antivirus. Fungsinya untuk menyaring email yang dikirimkan dari malware dan virus ke Windows, serta untuk memverifikasi keberadaan virus Windows di folder yang diekspor melalui SAMBA; jadi jika kami menggunakan mesin kami sebagai gateway email atau sebagai NAS untuk mesin Windows, kami dapat melindunginya.

Kerang-AV:

Kami tidak akan menyelesaikan laporan kami tanpa membicarakan tentang antivirus utama untuk GNU / Linux: ClamAV.
ClamAV adalah antivirus GPL yang sangat kuat yang mengkompilasi sebagian besar Unix yang tersedia di pasaran. Ini dirancang untuk menganalisis lampiran ke pesan email yang melewati stasiun dan memfilternya dari virus.
Aplikasi ini terintegrasi secara sempurna dengan sendmail untuk memungkinkan pemfilteran virus yang dapat disimpan di server Linux yang menyediakan email ke perusahaan; memiliki database virus yang diperbarui setiap hari, dengan dukungan digital. Basis data diperbarui beberapa kali sehari, dan ini adalah proyek yang hidup dan sangat menarik.
Program hebat ini mampu menganalisis virus bahkan dalam lampiran dalam format yang lebih kompleks untuk dibuka, seperti RAR (2.0), Zip, Gzip, Bzip2, Tar, MS OLE2, file Kabinet MS, MS CHM (HTML COprinted), dan MS SZDD .
ClamAV juga mendukung file mbox, Maildir, dan RAW mail, dan file Portable Executable yang dikompresi dengan UPX, FSG, dan Petite. Clam AV dan pasangan spamassassin adalah pasangan yang sempurna untuk melindungi klien Windows kami dari server email Unix.

KESIMPULAN

Untuk pertanyaan Apakah ada kerentanan dalam sistem Linux? jawabannya pasti ya.
Tak seorang pun waras meragukannya; Linux bukan OpenBSD. Hal lain adalah jendela kerentanan yang dimiliki sistem Linux yang diperbarui dengan benar. Jika kita bertanya pada diri sendiri, apakah ada alat untuk memanfaatkan celah keamanan ini, dan memanfaatkannya? Ya, tapi ini bukan virus, itu eksploitasi.

Virus harus mengatasi beberapa kesulitan lagi yang selalu dianggap sebagai cacat / masalah Linux oleh pembela Windows, dan yang mempersulit keberadaan virus nyata - kernel yang dikompilasi ulang, banyak versi dari banyak aplikasi, banyak distribusi, hal-hal yang bukan mereka secara otomatis diteruskan secara transparan ke pengguna, dll .–. Teori "virus" saat ini harus diinstal secara manual dari akun root. Tapi itu tidak bisa dianggap sebagai virus.
Seperti yang selalu saya katakan kepada siswa saya: tolong jangan percaya saya. Unduh dan instal rootkit di mesin. Dan jika Anda ingin lebih, baca kode sumber dari "virus" yang ada di pasaran. Kebenaran ada di kode sumber. Sulit bagi virus yang "memproklamirkan diri" untuk terus menamainya seperti itu setelah membaca kodenya. Dan jika Anda tidak tahu cara membaca kode, satu tindakan keamanan sederhana yang saya rekomendasikan: gunakan akun root hanya untuk mengelola mesin, dan selalu perbarui pembaruan keamanan.
Dengan itu saja, tidak mungkin virus masuk ke Anda dan sangat kecil kemungkinan worm atau seseorang akan berhasil menyerang mesin Anda.