GNU / Linux virusai: faktas ar mitas?

Kai tik diskusijos baigsis virusas y GNU / Linux netrunka pasirodyti vartotojas (paprastai „Windows“) Ką tai sako:

«„Linux“ nėra virusų, nes šių kenkėjiškų programų kūrėjai negaišta laiko dirbdami dėl operacinės sistemos, kurios beveik niekas nenaudoja »

Į ką visada atsakiau:

"Problema yra ne ta, tačiau šių kenkėjiškų programų kūrėjai negaišta laiko kurdami tai, kas bus pataisyta atlikus pirmąjį sistemos atnaujinimą net per mažiau nei 24 valandas"

Ir aš neklydau, nes šis puikus straipsnis paskelbtas 90 numeris (2008 metai) iš „Todo Linux“ žurnalo. Jo aktorius Davidas Santo Orcero teikia mums techniniu būdu (bet lengvai suprantama) paaiškinimas kodėl GNU / Linux trūksta tokio tipo kenkėjiškos programinės įrangos.

100% rekomenduojama. Dabar jie turės daugiau nei įtikinamą medžiagą nutildyti visus, kurie kalba be tvirto pagrindo šia tema.

Atsisiųsti straipsnį (PDF): Mitai ir faktai: „Linux“ ir virusai

Redaguota:

Čia yra perrašytas straipsnis, nes manome, kad tokiu būdu skaityti yra daug patogiau:

================================================== ======================

Diskusijos apie „Linux“ ir virusus nėra naujiena. Mes taip dažnai sąraše matome el. Laišką, kuriame klausiama, ar yra „Linux“ virusų; ir automatiškai kažkas atsako teigiamai ir teigia, kad jei jie nėra populiaresni, tai yra todėl, kad „Linux“ nėra tokia plačiai paplitusi kaip „Windows“. Antivirusinių programų kūrėjai taip pat dažnai spaudai praneša, kad jie išleidžia „Linux“ virusų versijas.

Asmeniškai aš kartkartėmis diskutuodavau su skirtingais žmonėmis paštu ar platinimo sąrašais dėl to, ar „Linux“ yra virusų. Tai mitas, tačiau sudėtinga griauti mitą ar, tiksliau, apgaulę, ypač jei tai lemia ekonominis interesas. Kažkas yra suinteresuotas perteikti mintį, kad jei „Linux“ neturi tokio pobūdžio problemų, taip yra todėl, kad labai mažai žmonių ja naudojasi.

Paskelbdamas šią ataskaitą norėčiau parašyti galutinį tekstą apie virusų buvimą „Linux“. Deja, kai tvyro prietarai ir ekonominiai interesai, sunku sukurti ką nors galutinio.
Tačiau čia bandysime pateikti pakankamai išsamų argumentą, kad nuginkluotume visų norinčių tai argumentuoti atakas.

Kas yra virusas?

Visų pirma, mes pradėsime apibrėžti, kas yra virusas. Tai programa, kuri nukopijuoja save ir veikia automatiškai ir kuria siekiama pakeisti įprastą kompiuterio veikimą be vartotojo leidimo ar žinios. Norėdami tai padaryti, virusai pakeičia vykdomuosius failus kitais, užkrėstais jų kodu. Apibrėžimas yra standartinis ir yra vienos eilutės Wikipedia įrašo apie virusus santrauka.
Svarbiausia šio apibrėžimo dalis, išskirianti virusą nuo kitų kenkėjiškų programų, yra ta, kad virusas pats įsidiegia be vartotojo leidimo ar žinios. jei jis pats neįdiegia, tai nėra virusas: tai gali būti rootkit arba Trojan.

Rootkit yra branduolio pleistras, leidžiantis paslėpti tam tikrus procesus nuo vartotojo srities komunalinių paslaugų. Kitaip tariant, tai yra branduolio šaltinio kodo modifikacija, kurios tikslas yra tai, kad komunalinės paslaugos, leidžiančios pamatyti, kas veikia bet kuriuo metu, nerodo tam tikro proceso ar tam tikro vartotojo.

Trojos arklys yra analogas: tai yra konkrečios paslaugos šaltinio kodo pakeitimas, siekiant paslėpti tam tikrą nesąžiningą veiklą. Abiem atvejais būtina gauti tikslios versijos, įdiegtos „Linux“ kompiuteryje, šaltinio kodą, užtaisyti kodą, iš naujo sukompiliuoti, gauti administratoriaus teises, įdiegti pataisytą vykdomąjį failą ir inicializuoti paslaugą „Trojan“ atveju arba operacinę sistemą. pilnas - atveju
rootkit–. Procesas, kaip matome, nėra nereikšmingas, ir niekas negali viso to padaryti „per klaidą“. Abi jos reikalauja diegdami, kad kažkas, turintis administratoriaus teises, sąmoningai atliktų keletą veiksmų, priimdamas techninio pobūdžio sprendimus.

Tai nėra nesvarbus semantinis niuansas: norint, kad virusas įdiegtų pats save, mums tereikia paleisti užkrėstą programą kaip įprastą vartotoją. Kita vertus, norint įdiegti „rootkit“ ar „Trojan“, būtina, kad piktavalis žmogus asmeniškai įvestų mašinos šakninę paskyrą ir neautomatizuotai atliktų daugybę veiksmų, kuriuos galima aptikti. virusas plinta greitai ir efektyviai; rootkitui ar trojaniui reikia, kad jie eitų paskui mus.

Viruso perdavimas „Linux“ sistemoje:

Todėl viruso perdavimo mechanizmas yra tai, kas jį iš tikrųjų apibrėžia ir yra jų egzistavimo pagrindas. Operacinė sistema yra jautresnė virusams, tuo lengviau sukurti efektyvų ir automatizuotą perdavimo mechanizmą.

Tarkime, kad turime virusą, kuris nori pats plisti. Tarkime, kad paleisdamas programą ją nekaltai paleido įprastas vartotojas. Šis virusas turi tik du perdavimo mechanizmus:

• Pakartokite save paliesdami kitų procesų atmintį, įsitvirtinę prie jų vykdymo metu.
• Atidarykite failų sistemos vykdomuosius ir prie vykdomojo failo pridėkite jų kodą „payload“.

Visi virusai, kuriuos galime laikyti tokiais, turi bent vieną iš šių dviejų perdavimo mechanizmų. O abu. Nebėra mechanizmų.
Kalbant apie pirmąjį mechanizmą, prisiminkime „Linux“ virtualiosios atminties architektūrą ir tai, kaip veikia „Intel“ procesoriai. Jie turi keturis žiedus, sunumeruotus nuo 0 iki 3; kuo mažesnis skaičius, tuo didesnes teises turi tas žiedas, veikiantis kodas. Šie žiedai atitinka procesoriaus būsenas ir, ką galima padaryti sistemai esant konkrečiame žiede. „Linux“ naudoja 0 žiedą branduoliui ir 3 žiedą procesams. nėra proceso kodo, kuris veikia 0 žiede, ir nėra branduolio kodo, veikiančio 3 žiede. Yra tik vienas branduolio įvedimo taškas iš 3 žiedo: 80 valandų pertraukimas, leidžiantis peršokti iš srities, kurioje jis yra vartotojo kodą vietovei, kurioje yra branduolio kodas.

„Unix“ apskritai ir ypač „Linux“ architektūra neleidžia virusų plisti.

Branduolys, naudodamas virtualią atmintį, priverčia kiekvieną procesą patikėti, kad jis turi visą atmintį. Procesas, veikiantis 3 žiede, gali matyti tik jam sukonfigūruotą virtualiąją atmintį, skirtą žiedui, kuriame jis veikia. Nėra taip, kad būtų saugoma kitų procesų atmintis; yra tai, kad vienam procesui kitų atmintis yra už adreso ribų. Jei procesas įveiks visus atminties adresus, jis net negalės nurodyti kito proceso atminties adreso.

Kodėl to negalima apgauti?
Norėdami modifikuoti tai, kas buvo pakomentuota, pavyzdžiui, generuoti įvedimo taškus žiede 0, modifikuoti pertraukimo vektorius, modifikuoti virtualią atmintį, modifikuoti LGDT ... - tai įmanoma tik iš žiedo 0.
Tai yra, kad procesas galėtų paliesti kitų procesų atmintį ar branduolį, jis turėtų būti pats branduolys. Tai, kad yra vienas įėjimo taškas ir kad parametrai perduodami per registrus, apsunkina spąstus - iš tikrųjų tai, kas turi būti padaryta, perduodama registru, kuris vėliau įgyvendinamas kaip atvejis dėmesio rutinoje. 80 valandų pertrauka.
Kitas scenarijus yra operacinių sistemų atvejis, kai šimtai nedokumentuotų skambučių skambinti 0, kai tai įmanoma - visada gali būti blogai įgyvendintas užmirštas skambutis, kuriam galima sukurti spąstus, tačiau operacinės sistemos su tokio paprasto žingsnio mechanizmo nėra.

Dėl šios priežasties virtualiosios atminties architektūra užkerta kelią šiam perdavimo mechanizmui; joks procesas - net ir tie, kurie turi pagrindines teises - neturi galimybės pasiekti kitų atmintį. Galėtume teigti, kad procesas gali pamatyti branduolį; jis susietas iš savo loginės atminties adreso 0xC0000000. Bet dėl ​​procesoriaus žiedo, kuriame jis veikia, jūs negalite jo modifikuoti; sukeltų spąstus, nes tai atminties sritys, priklausančios kitam žiedui.

„Sprendimas“ būtų programa, modifikuojanti branduolio kodą, kai tai yra failas. Tačiau tai, kad jie yra kompiliuojami, daro tai neįmanoma. Dvejetainės programos negalima pataisyti, nes pasaulyje yra milijonai skirtingų dvejetainių branduolių. Paprasčiausiai tai, kad perkompiliuodami, jie ką nors įdėjo arba pašalino iš branduolio vykdomojo failo, arba pakeitė vienos iš etikečių, identifikuojančių kompiliavimo versiją, dydį - tai daroma net nevalingai - dvejetainio pleistro nebuvo galima pritaikyti. Alternatyva būtų atsisiųsti šaltinio kodą iš interneto, pataisyti, sukonfigūruoti tinkamą aparatinę įrangą, sukompiliuoti, įdiegti ir perkrauti mašiną. Visa tai turėtų atlikti programa, automatiškai. Nemažas iššūkis dirbtinio intelekto srityje.
Kaip matome, net barjeras virusas negali peršokti šio barjero. Vienintelis likęs sprendimas yra perdavimas tarp vykdomųjų failų. Tai taip pat neveikia, kaip pamatysime toliau.

Mano, kaip administratoriaus, patirtis:

Per daugiau nei dešimt metų, kai valdau „Linux“, įdiegiau šimtus mašinų duomenų centruose, studentų laboratorijose, įmonėse ir kt.

• Niekada nesu užsikrėtusi virusu
• Niekada nesutikau tokio, kuris būtų
• Niekada nesutikau žmogaus, kuris būtų sutikęs tokį, kuris turi

Pažįstu daugiau žmonių, mačiusių Loch Ness Monster, nei mačiusių Linux virusų.
Asmeniškai aš prisipažįstu, kad buvau neapdairus ir paleidžiau keletą programų, kurias pasiskelbę „specialistai“ vadina „virusais, skirtais Linux“ - nuo šiol aš juos vadinsiu virusais, kad tekstas nebūtų pedantiškas - nuo mano įprasta paskyra prieš mano mašiną, siekiant sužinoti, ar virusas yra įmanomas: tiek aplinkui cirkuliuojantis bash virusas, kuris, beje, neužkrėtė jokių failų, tiek virusas, kuris tapo labai žinomas ir pasirodė spaudoje . Aš bandžiau jį įdiegti; ir po dvidešimties minučių darbo atsisakiau, kai pamačiau, kad vienas iš jo reikalavimų buvo turėti tmp katalogą MSDOS tipo skaidinyje. Asmeniškai aš nepažįstu nė vieno, kuris sukurtų konkretų tmp skaidinį ir jį formatuotų į FAT.
Tiesą sakant, kai kuriems vadinamiesiems virusams, kuriuos išbandžiau sistemai „Linux“, reikia aukšto lygio žinių ir įdiegti pagrindinį slaptažodį. Mes bent jau galėtume kvalifikuoti kaip „kraupų“ virusą, jei jam reikia aktyvios intervencijos, kad užkrėstume mašiną. Be to, kai kuriais atvejais jiems reikia daug žinių apie UNIX ir pagrindinį slaptažodį; kuris yra gana toli nuo automatinio diegimo, koks jis turėtų būti.

Užkrėsti vykdomuosius „Linux“:

„Linux“ procesas gali tiesiog padaryti tai, ką leidžia jo efektyvus vartotojas ir efektyvi grupė. Tiesa, kad egzistuoja mechanizmai, kuriais galima iškeisti tikrąjį vartotoją į grynuosius pinigus, bet dar mažai. Pažvelgę ​​į tai, kur yra vykdomieji failai, pamatysime, kad tik root turi rašymo teises tiek šiuose kataloguose, tiek esančiuose failuose. Kitaip tariant, tik root gali keisti tokius failus. Taip yra „Unix“ nuo 70-ųjų, „Linux“ nuo pat pradžių ir failų sistemoje, palaikančioje privilegijas, dar neatsirado klaidos, leidžiančios elgtis kitaip. ELF vykdomųjų failų struktūra yra žinoma ir gerai dokumentuota, todėl techniškai įmanoma, kad tokio tipo failai gali įkelti naudingąją apkrovą į kitą ELF failą ... tol, kol efektyvus pirmosios arba efektyviosios grupės vartotojas pirmiausia turite prieigos teises. skaityti, rašyti ir vykdyti antrąjį failą. Kiek failų sistemos vykdomųjų failų jis gali užkrėsti kaip įprastas vartotojas?
Šis klausimas turi paprastą atsakymą. Jei norime sužinoti, kiek failų galėtume „užkrėsti“, paleidžiame komandą:

$ find / -type f -perm -o=rwx -o \( -perm -g=rwx -group `id -g` \) -o \( -perm -u=rwx -user `id -u` \) -print 2> /dev/null | grep -v /proc

Išskiriame / proc katalogą, nes tai yra virtuali failų sistema, rodanti informaciją apie operacinės sistemos veikimą. Failų tipo failai su vykdymo teisėmis, kurias rasime, nekelia problemų, nes jie dažnai yra virtualios nuorodos, kurios atrodo perskaitytos, parašytos ir vykdomos, ir jei vartotojas bando, tai niekada neveikia. Mes taip pat atmetame klaidas, kurių yra daug, nes, ypač aplankuose / proc ir / home, yra daug katalogų, į kuriuos įprastas vartotojas negali patekti -. Šis scenarijus užima daug laiko. Mūsų konkrečiu atveju mašinoje, kurioje dirba keturi žmonės, buvo atsakyta:

/tmp/.ICE-unix/dcop52651205225188
/tmp/.ICE-unix/5279
/home/irbis/kradview-1.2/src
/kradview

Išvestyje rodomi trys failai, kurie gali būti užkrėsti, jei būtų paleistas hipotetinis virusas. Pirmieji du yra „Unix“ lizdo tipo failai, kurie yra ištrinami paleidimo metu - ir jų neveikia virusas -, o trečiasis yra kūrimo programos failas, kuris ištrinamas kiekvieną kartą, kai tik yra kompiliuojamas. Praktiniu požiūriu virusas neplinta.
Iš to, ką matome, vienintelis būdas paskirstyti naudingąją apkrovą yra šaknis. Tokiu atveju, kad virusas veiktų, vartotojai visada turi turėti administratoriaus teises. Tokiu atveju tai gali užkrėsti failus. Bet čia yra gaudymas: norėdami perduoti infekciją, turite paimti kitą vykdomąjį failą, išsiųsti jį kitam vartotojui, kuris naudoja mašiną tik kaip šakninę, ir pakartoti procesą.
Operacinėse sistemose, kur būtina būti įprastų užduočių administratoriumi arba paleisti daugybę kasdienių programų, taip gali būti. Tačiau „Unix“ sistemoje norint konfigūruoti mašiną ir modifikuoti konfigūracijos failus būtina būti administratoriumi, todėl vartotojų, kuriuos pagrindinė paskyra naudoja kaip kasdienę paskyrą, skaičius yra nedidelis. Tai daugiau; kai kuriuose „Linux“ paskirstymuose nėra įgalinta net šakninė paskyra. Beveik visose iš jų, jei jūs naudojatės grafine aplinka, fonas pasikeičia į ryškiai raudoną ir kartojasi nuolatiniai pranešimai, primenantys, kad ši paskyra neturėtų būti naudojama.
Galiausiai, viską, kas turi būti padaryta kaip root, galima atlikti su sudo komanda be rizikos.
Dėl šios priežasties sistemoje „Linux“ vykdomoji programa negali užkrėsti kitų, kol mes nenaudojame šaknies paskyros kaip bendro naudojimo paskyros; Nors antivirusinės kompanijos primygtinai reikalauja sakyti, kad yra „Linux“ skirtų virusų, iš tikrųjų artimiausias dalykas, kurį galima sukurti „Linux“, yra Trojos arklys vartotojo srityje. Vienintelis būdas, kuriuo šie Trojos arklys gali paveikti ką nors sistemoje, yra paleisti jį kaip root ir turint būtinas privilegijas. Jei mašiną paprastai naudojame kaip įprastus vartotojus, įprasto vartotojo paleistas procesas negali užkrėsti sistemos.

Mitai ir melas:

„Linux“ sistemoje randame daug mitų, apgaulių ir tiesiog melo apie virusus. Sudarykime jų sąrašą, remdamiesi diskusija, vykusia prieš kurį laiką su antivirusinės programos „Linux“ gamintojo atstovu, kurį labai įžeidė tame pačiame žurnale paskelbtas straipsnis.
Ši diskusija yra geras pavyzdinis pavyzdys, nes ji liečia visus „Linux“ virusų aspektus. Mes ketiname apžvelgti visus šiuos mitus po vieną, nes jie buvo aptarti toje konkrečioje diskusijoje, tačiau tai buvo pakartota tiek kartų kituose forumuose.

1 mitas:
"Ne visoms kenksmingoms programoms, ypač virusams, reikalingos root privilegijos, kad užkrėstų, ypač konkrečiu atveju vykdomuosius virusus (ELF formatas), užkrėstus kitus vykdomuosius".

Atsakymas:
Kas pateikia tokią pretenziją, nežino, kaip veikia „Unix“ privilegijų sistema. Norint paveikti failą, virusui reikia skaitymo privilegijos - jį reikia perskaityti, norint jį modifikuoti, ir rašant - jis turi būti parašytas, kad pakeitimas būtų galiojantis, ant vykdomojo failo, kurį jis nori vykdyti.
Taip yra visada, be išimčių. Kiekviename paskirstyme ne root vartotojai neturi šių privilegijų. Tada paprasčiausiai nesant šaknies, infekcija neįmanoma. Empirinis testas: ankstesniame skyriuje matėme paprastą scenarijų, skirtą patikrinti failų, kuriuos gali paveikti infekcija, diapazoną. Jei paleisime jį savo kompiuteryje, pamatysime, kaip jis yra nereikšmingas, o sistemos failų atžvilgiu - niekinis. Be to, skirtingai nei operacinėse sistemose, tokiose kaip „Windows“, jums nereikia administratoriaus teisių, kad atliktumėte įprastas užduotis su programomis, kurias paprastai naudoja įprasti vartotojai.

2 mitas:
"Jie taip pat neturi būti šakniniai, kad patektų į sistemą nuotoliniu būdu. Slapper - kirminas, kuris, pasinaudodamas „Apache“ SSL pažeidžiamumu (sertifikatais, leidžiančiais saugų ryšį), 2002 m. Rugsėjo mėn.".

Atsakymas:
Šis pavyzdys nurodo ne virusą, o kirminą. Skirtumas yra labai svarbus: kirminas yra programa, kuri naudojasi internetu teikiama paslauga, kad pati perduotų. Tai neturi įtakos vietinėms programoms. Todėl tai veikia tik serverius; ne tam tikroms mašinoms.
Kirmėlių visada buvo labai nedaug, jų paplitimas buvo nereikšmingas. Trys iš tiesų svarbūs gimė 80-aisiais - tuo metu, kai internetas buvo nekaltas, ir visi pasitikėjo visais. Prisiminkime, kad būtent jie paveikė „sendmail“, „fingerd“ ir „rexec“. Šiandien viskas yra sudėtingiau. Nors mes negalime paneigti, kad jie vis dar egzistuoja ir kad, jei jų nekontroliuosite, jie yra labai pavojingi. Bet dabar reakcijos į kirminus laikas yra labai trumpas. Tai yra „Slapper“ atvejis: dėl pažeidžiamumo sukurtas kirminas buvo atrastas ir užtaisytas likus dviem mėnesiams iki paties kirmino pasirodymo.
Net darant prielaidą, kad visiems, naudojantiems „Linux“, „Apache“ buvo nuolat įdiegta ir veikia, paprasčiausiai kas mėnesį atnaujinti paketus būtų buvę daugiau nei pakankamai, kad niekada nekiltų jokia rizika.
Tiesa, kad „Slapper“ sukelta SSL klaida buvo kritinė - iš tikrųjų didžiausia rasta per visą SSL2 ir SSL3 istoriją - ir kaip tokia ji buvo ištaisyta per kelias valandas. Praėjus dviem mėnesiams po to, kai ši problema buvo nustatyta ir išspręsta, kažkas padarė klaidą ant klaidos, kuri jau buvo ištaisyta, ir kad tai yra galingiausias pavyzdys, kurį galima pateikti kaip pažeidžiamumą, bent jau tai nuramina.
Paprastai kirminų sprendimas yra ne pirkti antivirusą, ją įdiegti ir gaišti skaičiavimo laiką, kad jis liktų gyventojas. Sprendimas yra pasinaudoti mūsų platinimo saugos atnaujinimo sistema: atnaujinus paskirstymą, problemų nebus. Teikti tik mums reikalingas paslaugas taip pat yra gera idėja dėl dviejų priežasčių: tobuliname išteklių naudojimą ir išvengiame saugumo problemų.

3 mitas:
"Nemanau, kad šerdis nėra nepažeidžiama. Tiesą sakant, yra kenkėjiškų programų grupė, vadinama LRK („Linux Rootkits Kernel“), kurios pagrįstos būtent tuo, kad jos išnaudoja branduolio modulių pažeidžiamumą ir pakeičia sistemos dvejetainius failus.".

Atsakymas:
„Rootkit“ iš esmės yra branduolio pleistras, leidžiantis paslėpti tam tikrų vartotojų ir procesų egzistavimą nuo įprastų įrankių, nes jie nebus rodomi / proc kataloge. Paprastai tai, kad jie naudojasi pasibaigus atakai, visų pirma, jie išnaudos nuotolinį pažeidžiamumą, kad gautų prieigą prie mūsų mašinos. Tada jie imsis atakų sekos, siekdami išplėsti privilegijas, kol turės root sąskaitą. Problema, kai jie tai daro, yra tai, kaip mūsų kompiuteryje įdiegti paslaugą neaptikta: ten yra rootkit. Sukuriamas vartotojas, kuris bus efektyvus paslaugos, kurią norime paslėpti, vartotojas, jie įdiegia rootkitą ir paslepia tiek minėtą vartotoją, tiek visus procesus, priklausančius tam vartotojui.
Apie tai, kaip paslėpti vartotojo egzistavimą, naudinga virusui, galėtume ilgai diskutuoti, tačiau virusas, kuris pats įdiegia „rootkit“, atrodo įdomus. Įsivaizduokime viruso mechaniką (pseudokode):
1) virusas patenka į sistemą.
2) Suraskite branduolio šaltinio kodą. Jei to nėra, jis pats ją įdiegia.
3) Konfigūruokite branduolį aparatūros parinktims, kurios taikomos atitinkamai mašinai.
4) Sudarykite branduolį.
5) Įdiekite naują branduolį; prireikus modifikuojant LILO arba GRUB.
6) Perkraukite mašiną.

5 ir 6 žingsniams reikalingos root teisės. Kiek sudėtinga, kad užkrėstieji neaptinka 4 ir 6 žingsnių. Juokingiausia tai, kad yra kažkas, kuris tiki, kad yra programa, kuri gali automatiškai atlikti 2 ir 3 žingsnius.
Kaip kulminaciją, jei susidursime su žmogumi, kuris mums sako „kai bus daugiau„ Linux “mašinų, bus ir daugiau virusų“, ir rekomenduoja „įdiegti antivirusinę programą ir ją nuolat atnaujinti“, tai gali būti susijusi su pardavinėjančia įmone. antivirusinę ir atnaujinimus. Būkite įtartinas, galbūt tas pats savininkas.

Antivirusinė, skirta „Linux“:

Tiesa, kad „Linux“ yra gera antivirusinė programa. Problema yra ta, kad jie nedaro to, ką teigia antivirusinės programos šalininkai. Jo funkcija yra filtruoti paštą, kuris perduodamas iš kenkėjiškų programų ir virusų į „Windows“, taip pat patikrinti, ar „Windows“ virusai yra aplankuose, eksportuojamuose per SAMBA; taigi, jei naudosime savo mašiną kaip pašto šliuzą arba kaip NAS, skirtą „Windows“ mašinoms, galime jas apsaugoti.

„Clam-AV“:

Mes nebaigsime savo pranešimo nekalbėdami apie pagrindinę antivirusinę programą GNU / Linux: ClamAV.
„ClamAV“ yra labai galinga GPL antivirusinė programa, kaupianti daugumą rinkoje esančių „Unix“. Jis skirtas analizuoti pašto pranešimų priedus, einančius per stotį, ir filtruoti juose virusus.
Ši programa puikiai integruojama su „sendmail“, kad būtų galima filtruoti virusus, kurie gali būti saugomi „Linux“ serveriuose, teikiančiuose laiškus įmonėms; turinti kasdien atnaujinamą virusų duomenų bazę su skaitmenine pagalba. Duomenų bazė atnaujinama kelis kartus per dieną, tai yra gyvas ir labai įdomus projektas.
Ši galinga programa gali analizuoti virusus net prieduose sudėtingesniais formatais, kad būtų galima atidaryti, pvz., RAR (2.0), „Zip“, „Gzip“, „Bzip2“, „Tar“, „MS OLE2“, „MS Cabinet“ failus, „MS CHM“ (HTML COprinted) ir „MS SZDD“. .
„ClamAV“ taip pat palaiko „mbox“, „Maildir“ ir pašto failus RAW formatu bei „Portable Executable“ failus, suspaustus su UPX, FSG ir „Petite“. „Clam AV“ ir „spamassassin“ pora yra puiki pora, apsauganti mūsų „Windows“ klientus nuo „Unix“ pašto serverių.

IŠVADA

Į klausimą, ar „Linux“ sistemose yra pažeidžiamumų? atsakymas tikrai yra taip.
Niekas sveiko proto neabejoja; „Linux“ nėra „OpenBSD“. Kitas dalykas yra „Linux“ sistemos pažeidžiamumo langas, kuris yra tinkamai atnaujintas. Jei paklaustume savęs, ar yra priemonių, kaip pasinaudoti šiomis saugumo spragomis ir jomis pasinaudoti? Na, taip, bet tai nėra virusai, jie yra išnaudojimai.

Virusas turi įveikti dar kelis sunkumus, kuriuos „Windows“ gynėjai visada laikė „Linux“ trūkumu / problema ir kurie apsunkina tikrų virusų egzistavimą - perkompiliuoti branduoliai, daugybė daugelio programų versijų, daugybė paskirstymų, dalykai, kurie jie nėra automatiškai skaidriai perduodami vartotojui ir pan. Dabartiniai teoriniai „virusai“ turi būti įdiegti rankiniu būdu iš šaknies paskyros. Bet to negalima laikyti virusu.
Kaip aš visada sakau savo mokiniams: netikėk, prašau. Į kompiuterį atsisiųskite ir įdiekite rootkit. O jei norite daugiau, perskaitykite rinkoje esančių „virusų“ šaltinio kodą. Tiesa yra šaltinio kode. „Pasiskelbusiam“ virusui sunku jį taip pavadinti perskaičius jo kodą. Ir jei jūs nežinote, kaip skaityti kodą, rekomenduojame vieną paprastą saugos priemonę: naudokite šaknies abonementą tik mašinai valdyti ir atnaujinkite saugos naujinimus.
Tik tuo atveju virusai negali patekti į jus ir mažai tikėtina, kad kirminai ar kas nors sėkmingai užpuls jūsų mašiną.