Virus di GNU / Linux: Fakta atau Mitos?

Alejandro (a.k.a KZKG^Gaara)

Minit 21

Setiap kali perbahasan selesai virus y GNU / Linux tidak memerlukan masa yang lama untuk pengguna muncul (biasanya Windows) Apakah maknanya:

«Di Linux tidak ada virus kerana pencipta program jahat ini tidak membuang masa untuk melakukan sesuatu untuk Sistem Operasi yang hampir tidak ada yang menggunakan »

Yang selalu saya jawab:

"Masalahnya bukan begitu, tetapi pencipta program jahat ini tidak akan membuang masa untuk membuat sesuatu yang akan diperbaiki dengan kemas kini sistem yang pertama, bahkan dalam waktu kurang dari 24 jam"

Dan saya tidak salah, kerana artikel yang sangat baik ini diterbitkan di Nombor 90 (Tahun 2008) dari Todo Linux Magazine. Pelakonnya david santo orcero menyediakan kami dengan cara teknikal (tetapi senang difahami) penjelasan mengapa GNU / Linux kekurangan perisian berniat jahat seperti ini.

100% disyorkan. Sekarang mereka akan memiliki lebih dari sekadar meyakinkan bahan untuk membungkam siapa sahaja yang bercakap tanpa asas yang kukuh mengenai perkara ini.

Muat turun Artikel (PDF): Mitos dan Fakta: Linux dan Virus

DITULIS:

Inilah artikel yang ditranskripsikan, kerana kami menganggap bahawa lebih selesa untuk dibaca dengan cara ini:

================================================== ======================

Perbahasan Linux dan virus bukanlah perkara baru. Setiap kali kita melihat e-mel dalam senarai yang bertanya sama ada terdapat virus untuk Linux; dan secara automatik seseorang menjawab dengan tegas dan mendakwa bahawa jika mereka tidak lebih popular itu kerana Linux tidak begitu meluas seperti Windows. Terdapat juga sering siaran pers dari pembangun antivirus yang mengatakan bahawa mereka mengeluarkan versi terhadap virus Linux.

Secara peribadi, saya kadang-kadang mengadakan perbincangan dengan orang yang berbeza melalui pos, atau berdasarkan senarai pengedaran, mengenai masalah sama ada virus ada atau tidak di Linux. itu adalah mitos, tetapi rumit untuk menghancurkan mitos atau, lebih tepatnya, tipuan, terutamanya jika ia disebabkan oleh kepentingan ekonomi. Seseorang berminat untuk menyampaikan idea bahawa jika Linux tidak mempunyai masalah seperti ini, ini kerana sangat sedikit orang yang menggunakannya.

Pada masa menerbitkan laporan ini, saya ingin menulis teks pasti mengenai keberadaan virus di Linux. Malangnya, apabila kepercayaan karut dan kepentingan ekonomi berleluasa, sukar untuk membina sesuatu yang pasti.
Walau bagaimanapun, kami akan cuba membuat hujah yang cukup lengkap di sini untuk melucutkan serangan sesiapa sahaja yang mahu berdebat.

Apa itu virus?

Pertama sekali, kita akan memulakan dengan menentukan apa itu virus. Ini adalah program yang menyalin dirinya sendiri dan berjalan secara automatik, dan bertujuan mengubah fungsi normal komputer, tanpa izin atau pengetahuan pengguna. Untuk melakukan ini, virus menggantikan fail yang boleh dilaksanakan dengan yang lain yang dijangkiti kodnya. Definisi itu adalah standard, dan merupakan ringkasan satu baris dari entri Wikipedia mengenai virus.
Bahagian yang paling penting dalam definisi ini, dan yang membezakan virus dari perisian hasad lain, adalah bahawa virus dipasang sendiri, tanpa kebenaran atau pengetahuan pengguna. jika ia tidak dipasang sendiri, itu bukan virus: ia mungkin rootkit, atau Trojan.

Rootkit adalah patch kernel yang membolehkan anda menyembunyikan proses tertentu dari utiliti kawasan pengguna. Dengan kata lain, ini adalah pengubahsuaian kod sumber kernel yang tujuannya adalah bahawa utiliti yang memungkinkan kita untuk melihat apa yang sedang berjalan pada waktu tertentu tidak memperlihatkan proses tertentu, atau pengguna tertentu.

Trojan adalah serupa: ia adalah pengubahsuaian pada kod sumber perkhidmatan tertentu untuk menyembunyikan aktiviti penipuan tertentu. Dalam kedua kes tersebut, perlu mendapatkan kod sumber dari versi yang tepat yang dipasang pada mesin Linux, menambal kodnya, mengkompilasi ulang, mendapatkan hak pentadbir, memasang yang dapat ditambal yang dapat dieksekusi, dan menginisialisasi layanan-dalam kasus Trojan- atau sistem operasi lengkap - sekiranya berlaku
rootkit–. Prosesnya, seperti yang kita lihat, tidak sepele, dan tidak ada yang dapat melakukan semua ini "secara tidak sengaja". Kedua-duanya mensyaratkan dalam pemasangannya bahawa seseorang dengan hak pentadbir, secara sedar, melakukan serangkaian langkah membuat keputusan yang bersifat teknikal.

Yang bukan nuansa semantik yang tidak penting: agar virus dapat dipasang sendiri, yang harus kita lakukan adalah menjalankan program yang dijangkiti sebagai pengguna biasa. Sebaliknya, untuk pemasangan rootkit atau Trojan, adalah mustahak bahawa manusia yang berniat jahat memasuki akaun root mesin secara peribadi, dan dengan cara yang tidak automatik, melakukan serangkaian langkah yang berpotensi dapat dikesan. virus merebak dengan cepat dan cekap; rootkit atau trojan memerlukan mereka untuk mengejar kita secara khusus.

Penyebaran virus di Linux:

Oleh itu, mekanisme penularan virus adalah yang benar-benar mendefinisikannya, dan merupakan asas bagi keberadaannya. sistem operasi lebih sensitif terhadap virus, semakin mudah untuk mengembangkan mekanisme penghantaran yang cekap dan automatik.

Andaikan kita mempunyai virus yang ingin menyebarkannya sendiri. Andaikan ia dilancarkan oleh pengguna biasa, dengan tidak bersalah ketika melancarkan program. Virus ini secara eksklusif mempunyai dua mekanisme penularan:

  • Meniru dirinya sendiri dengan menyentuh memori proses lain, menahannya pada proses tersebut semasa menjalankan.
  • Membuka sistem fail yang dapat dieksekusi, dan menambahkan kod mereka - bayar - ke yang dapat dijalankan.

Semua virus yang dapat kita pertimbangkan mempunyai sekurang-kurangnya satu daripada dua mekanisme penularan ini. O Kedua. Tidak ada lagi mekanisme.
Mengenai mekanisme pertama, mari kita ingat arsitektur memori maya Linux dan bagaimana pemproses intel berfungsi. Ini mempunyai empat cincin, bernombor 0 hingga 3; semakin rendah bilangannya, semakin besar keistimewaan yang dimiliki oleh kod yang terdapat di gelang itu. Cincin ini sesuai dengan keadaan pemproses, dan, oleh itu, dengan apa yang dapat dilakukan dengan sistem berada di dering tertentu. Linux menggunakan cincin 0 untuk kernel, dan cincin 3 untuk proses. tidak ada kod proses yang berjalan di ring 0, dan tidak ada kod kernel yang berjalan di ring 3. Hanya ada satu titik masuk ke kernel dari ring 3: gangguan 80h, yang membolehkan anda melompat dari kawasan di mana ia berada kod pengguna ke kawasan di mana kod kernel.

Senibina Unix pada umumnya dan Linux khususnya tidak menjadikan penyebaran virus dapat dilaksanakan.

Kernel dengan menggunakan memori maya membuat setiap proses percaya bahawa ia mempunyai semua memori itu sendiri. Proses - yang berfungsi dalam cincin 3 - hanya dapat melihat memori maya yang telah dikonfigurasi untuknya, untuk cincin di mana ia beroperasi. Bukannya memori proses lain dilindungi; adalah bahawa untuk satu proses, memori yang lain berada di luar ruang alamat. Sekiranya proses mengalahkan semua alamat memori, ia bahkan tidak dapat merujuk alamat memori proses lain.

Mengapa ini tidak boleh ditipu?
Untuk mengubah apa yang telah dikomentari - contohnya, buat titik masuk dalam cincin 0, ubah vektor gangguan, ubah memori maya, ubah LGDT ... - hanya boleh dilakukan dari dering 0.
Maksudnya, agar proses dapat menyentuh memori proses lain atau kernel, itu harus menjadi kernel itu sendiri. Dan hakikat bahawa ada satu titik masuk dan parameter yang dilewatkan melalui register menyulitkan perangkap - sebenarnya, apa yang harus dilakukan dilewatkan oleh daftar, yang kemudian dilaksanakan sebagai kasus dalam rutin perhatian. gangguan 80h.
Senario lain adalah kes sistem operasi dengan beratus-ratus panggilan yang tidak berdokumen ke dering 0, di mana ini mungkin - selalu ada panggilan terlupa yang tidak dapat dilaksanakan dengan baik di mana perangkap dapat dikembangkan - tetapi dalam kes sistem operasi dengan mekanisme langkah mudah seperti itu, tidak.

Atas sebab ini, seni bina memori maya menghalang mekanisme penghantaran ini; tidak ada proses - bahkan yang mempunyai hak root - mempunyai cara untuk mengakses memori orang lain. Kita boleh berpendapat bahawa proses dapat melihat kernel; ia telah dipetakan dari alamat memori logiknya 0xC0000000. Tetapi, kerana cincin pemproses yang dijalankan, anda tidak dapat mengubahnya; akan menghasilkan perangkap, kerana mereka adalah kawasan ingatan milik cincin lain.

"Penyelesaian" akan menjadi program yang mengubah kod kernel ketika itu adalah file. Tetapi kenyataan bahawa ini dikumpulkan semula menjadikannya mustahil. Anda tidak dapat menambal binari, kerana terdapat berjuta-juta kernel binari yang berbeza di dunia. Cukup bahawa ketika mengkompilasi semula mereka telah meletakkan atau mengeluarkan sesuatu dari kernel yang dapat dieksekusi, atau mereka telah mengubah ukuran beberapa label yang mengenal pasti versi kompilasi - sesuatu yang dilakukan walaupun tidak sengaja - patch binari tidak dapat diterapkan. Alternatifnya ialah memuat turun kod sumber dari Internet, menambalnya, mengkonfigurasinya untuk perkakasan yang sesuai, menyusunnya, memasangnya, dan menghidupkan semula mesin. Semua ini harus dilakukan oleh program, secara automatik. Cukup cabaran untuk bidang Kecerdasan Buatan.
Seperti yang kita lihat, bahkan virus sebagai root tidak dapat mengatasi halangan ini. Satu-satunya penyelesaian yang tinggal adalah penghantaran antara fail yang boleh dilaksanakan. Yang tidak berfungsi sama seperti yang akan kita lihat di bawah.

Pengalaman saya sebagai pentadbir:

Selama lebih dari sepuluh tahun saya menguruskan Linux, dengan pemasangan di ratusan mesin di pusat data, makmal pelajar, syarikat, dll.

  • Saya tidak pernah "mendapat" virus
  • Saya tidak pernah bertemu dengan seseorang yang mempunyai
  • Saya tidak pernah bertemu dengan seseorang yang pernah bertemu dengan seseorang yang telah

Saya tahu lebih ramai orang yang pernah melihat Loch Ness Monster daripada yang pernah melihat virus Linux.
Secara peribadi, saya akui bahawa saya telah sembrono, dan saya telah melancarkan beberapa program yang "pakar" yang diisytiharkan sendiri sebagai "virus" untuk Linux "- mulai sekarang, saya akan memanggil mereka virus, bukan untuk menjadikan teks itu pedantik -, akaun biasa saya terhadap mesin saya, untuk melihat sama ada virus itu mungkin: kedua-dua virus bash yang beredar di sekitar sana - dan yang, dengan cara itu, tidak menjangkiti mana-mana fail saya - serta virus yang menjadi sangat terkenal dan muncul dalam akhbar. Saya cuba memasangnya; dan setelah dua puluh minit bekerja, saya menyerah ketika saya melihat bahawa salah satu tuntutannya adalah untuk memiliki direktori tmp pada partisi jenis MSDOS. Secara peribadi, saya tidak mengenali sesiapa yang membuat partition khusus untuk tmp dan memformatnya menjadi FAT.
Sebenarnya, sebilangan virus yang telah saya uji untuk Linux memerlukan pengetahuan yang tinggi dan kata laluan root untuk dipasang. Kita mungkin layak, paling tidak, sebagai "jelek" virus jika memerlukan campur tangan aktif kita untuk menjangkiti mesin. Selanjutnya, dalam beberapa kes, mereka memerlukan pengetahuan yang luas mengenai UNIX dan kata laluan root; yang agak jauh dari pemasangan automatik yang sepatutnya.

Menjangkiti executable di Linux:

Di Linux, proses hanya dapat melakukan apa yang dibenarkan oleh pengguna dan kumpulan berkesannya. Memang ada mekanisme untuk menukar pengguna sebenar dengan wang tunai, tetapi tidak ada yang lain. Sekiranya kita melihat di mana yang dapat dijalankan, kita akan melihat bahawa hanya root yang mempunyai hak menulis dalam direktori ini dan dalam fail yang terkandung. Dengan kata lain, hanya root yang dapat mengubah fail tersebut. Ini telah berlaku di Unix sejak tahun 70-an, di Linux sejak asalnya, dan dalam sistem fail yang menyokong hak istimewa, belum ada ralat yang membenarkan tingkah laku lain. Struktur fail yang boleh dilaksanakan ELF diketahui dan didokumentasikan dengan baik, oleh itu secara teknikal mungkin fail jenis ini memuat muatan dalam fail ELF lain ... selagi pengguna yang efektif dari bekas atau kumpulan berkesan bekas mempunyai hak akses.bacaan, penulisan dan pelaksanaan pada fail kedua. Berapa banyak sistem fail yang dapat dijalankan sebagai pengguna biasa?
Soalan ini mempunyai jawapan yang mudah, jika kita ingin mengetahui berapa banyak fail yang dapat kita "menjangkiti", kita melancarkan perintah:

$ find / -type f -perm -o=rwx -o \( -perm -g=rwx -group `id -g` \) -o \( -perm -u=rwx -user `id -u` \) -print 2> /dev/null | grep -v /proc

Kami mengecualikan direktori / proc kerana ia adalah sistem fail maya yang memaparkan maklumat mengenai bagaimana sistem operasi berfungsi. Fail jenis fail dengan hak pelaksanaan yang akan kita temui tidak menimbulkan masalah, kerana ia sering merupakan pautan maya yang nampaknya dibaca, ditulis dan dilaksanakan, dan jika pengguna mencubanya, ia tidak akan berjaya. Kami juga menolak kesilapan, banyak - kerana, terutama di / proc dan / home, ada banyak direktori di mana pengguna biasa tidak dapat memasukkan -. Skrip ini memerlukan waktu yang lama. Dalam kes tertentu, di mesin di mana empat orang bekerja, jawapannya adalah:

/tmp/.ICE-unix/dcop52651205225188
/tmp/.ICE-unix/5279
/home/irbis/kradview-1.2/src
/kradview

Hasilnya menunjukkan tiga fail yang dapat dijangkiti jika virus hipotetis dijalankan. Dua yang pertama adalah fail jenis soket Unix yang dihapus pada permulaan –dan tidak dapat dipengaruhi oleh virus–, dan yang ketiga adalah fail program pengembangan, yang dihapus setiap kali dikompilasi ulang. Virus, dari sudut pandang praktikal, tidak akan merebak.
Dari apa yang kita lihat, satu-satunya cara untuk menyebarkan muatan adalah dengan menjadi root. Dalam kes ini, agar virus berfungsi, pengguna mesti selalu mempunyai hak pentadbir. Sekiranya demikian, ia boleh menjangkiti fail. Tetapi inilah hasil tangkapannya: untuk menyebarkan jangkitan, anda perlu mengambil yang lain yang dapat dijalankan, hantarkannya kepada pengguna lain yang hanya menggunakan mesin sebagai root, dan ulangi prosesnya.
Dalam sistem operasi di mana perlu menjadi pentadbir untuk tugas biasa atau menjalankan banyak aplikasi harian, hal ini dapat terjadi. Tetapi di Unix perlu menjadi pentadbir untuk mengkonfigurasi mesin dan mengubah fail konfigurasi, sehingga jumlah pengguna yang digunakan oleh akaun root sebagai akaun harian adalah sedikit. Ia lebih; sebilangan pengedaran Linux bahkan tidak mengaktifkan akaun root. Dalam hampir semua dari mereka, jika anda mengakses persekitaran grafik seperti itu, latar belakang berubah menjadi merah yang kuat, dan mesej berterusan diulang untuk mengingatkan anda bahawa akaun ini tidak boleh digunakan.
Akhirnya, semua yang harus dilakukan sebagai root dapat dilakukan dengan perintah sudo tanpa risiko.
Atas sebab ini, di Linux yang boleh dieksekusi tidak dapat menjangkiti orang lain selagi kita tidak menggunakan akaun root sebagai akaun penggunaan biasa; Dan walaupun syarikat antivirus berkeras mengatakan bahawa ada virus untuk Linux, sebenarnya yang paling dekat yang dapat dibuat di Linux adalah Trojan di kawasan pengguna. Satu-satunya cara agar Trojan ini dapat mempengaruhi sesuatu pada sistem adalah dengan menjalankannya sebagai root dan dengan keistimewaan yang diperlukan. Sekiranya kita biasanya menggunakan mesin sebagai pengguna biasa, tidak mungkin proses yang dilancarkan oleh pengguna biasa menjangkiti sistem.

Mitos dan pembohongan:

Kami menjumpai banyak mitos, tipuan, dan pembohongan yang jelas mengenai virus di Linux. Mari kita buat senarai berdasarkan perbincangan yang berlaku beberapa waktu lalu dengan wakil pengeluar antivirus untuk Linux yang sangat tersinggung dengan artikel yang diterbitkan dalam majalah yang sama ini.
Perbincangan itu adalah contoh rujukan yang baik, kerana menyentuh semua perkara virus di Linux. Kami akan mengkaji semua mitos ini satu persatu kerana ia dibincangkan dalam perbincangan khusus itu, tetapi yang telah berulang kali diulang di forum lain.

Mitos 1:
"Tidak semua program jahat, terutama virus, memerlukan hak root untuk menjangkiti, terutama dalam kes tertentu virus yang dapat dieksekusi (format ELF) yang menjangkiti yang lain yang dapat dijalankan".

Jawapan:
Sesiapa yang membuat tuntutan sedemikian tidak tahu bagaimana sistem hak istimewa Unix berfungsi. Untuk mempengaruhi fail, virus memerlukan hak istimewa untuk membaca - ia mesti dibaca untuk mengubahnya - dan menulis - ia mesti ditulis agar pengubahsuaian itu sah - pada fail yang boleh dilaksanakan yang ingin dijalankan.
Perkara ini selalu berlaku, tanpa pengecualian. Dan dalam setiap pengedaran, pengguna bukan root tidak mempunyai hak istimewa ini. Maka dengan tidak menjadi akar, jangkitan tidak mungkin berlaku. Uji empirikal: Pada bahagian sebelumnya kami melihat skrip sederhana untuk memeriksa julat fail yang boleh terkena jangkitan. Sekiranya kami melancarkannya di mesin kami, kami akan melihat bagaimana ia boleh diabaikan, dan berkenaan dengan fail sistem, tidak ada. Juga, tidak seperti sistem operasi seperti Windows, anda tidak memerlukan hak pentadbir untuk melakukan tugas biasa dengan program yang biasa digunakan oleh pengguna biasa.

Mitos 2:
"Mereka juga tidak perlu menjadi root untuk memasuki sistem dari jarak jauh, dalam kasus Slapper, worm yang mengeksploitasi kerentanan dalam SSL Apache (sijil yang membenarkan komunikasi yang selamat), membuat rangkaian mesin zombie sendiri pada bulan September 2002".

Jawapan:
Contoh ini tidak merujuk kepada virus, tetapi cacing. Perbezaannya sangat penting: worm adalah program yang mengeksploitasi perkhidmatan untuk Internet dihantar sendiri. Ia tidak mempengaruhi program tempatan. Oleh itu, ia hanya mempengaruhi pelayan; bukan untuk mesin tertentu.
Cacing ini selalu sedikit dan kejadiannya tidak dapat diabaikan. Ketiga-tiga yang sangat penting dilahirkan pada tahun 80-an, ketika Internet tidak bersalah, dan semua orang mempercayai semua orang. Mari kita ingat bahawa merekalah yang mempengaruhi sendmail, fingerd dan rexec. Hari ini perkara lebih rumit. Walaupun kita tidak dapat menafikan bahawa mereka masih ada dan bahawa, jika dibiarkan, mereka sangat berbahaya. Tetapi sekarang, masa reaksi terhadap cacing sangat singkat. Ini adalah kes Slapper: cacing yang dibuat pada kerentanan yang ditemui - dan ditambal - dua bulan sebelum kemunculan cacing itu sendiri.
Walaupun mengandaikan bahawa setiap orang yang menggunakan Linux mempunyai Apache yang dipasang dan berjalan sepanjang masa, hanya mengemas kini pakej setiap bulan akan lebih dari cukup untuk tidak pernah menghadapi risiko.
Diakui, bug SSL yang ditimbulkan oleh Slapper adalah kritikal - sebenarnya, bug terbesar yang terdapat dalam keseluruhan sejarah SSL2 dan SSL3 - dan dengan demikian dapat diperbaiki dalam beberapa jam. Dua bulan setelah masalah ini dijumpai dan diselesaikan, seseorang membuat cacing pada bug yang telah diperbaiki, dan ini adalah contoh paling kuat yang dapat diberikan sebagai kerentanan, paling tidak ia meyakinkan.
Sebagai peraturan umum, penyelesaian untuk worm adalah dengan tidak membeli antivirus, memasangnya, dan membuang-buang masa pengkomputeran untuk menjadikannya tetap. Penyelesaiannya adalah dengan menggunakan sistem kemas kini keselamatan pengedaran kami: setelah pengedaran diperbaharui, tidak akan ada masalah. Menjalankan hanya perkhidmatan yang kita perlukan juga merupakan idea yang baik kerana dua sebab: kita meningkatkan penggunaan sumber, dan kita mengelakkan masalah keselamatan.

Mitos 3:
"Saya rasa intinya tidak kebal. Sebenarnya, ada sekumpulan program jahat yang disebut LRK (Linux Rootkits Kernel), yang berdasarkan tepat pada kenyataan bahawa mereka mengeksploitasi kerentanan dalam modul kernel dan menggantikan binari sistem.".

Jawapan:
Rootkit pada dasarnya adalah patch kernel yang membolehkan anda menyembunyikan keberadaan pengguna dan proses tertentu dari alat biasa, berkat kenyataan bahawa mereka tidak akan muncul di direktori / proc. Perkara biasa adalah mereka menggunakannya pada akhir serangan, pertama kali, mereka akan memanfaatkan kerentanan terpencil untuk mendapatkan akses ke mesin kami. Kemudian mereka akan melakukan urutan serangan, untuk meningkatkan hak istimewa sehingga mereka memiliki akun root. Masalahnya ialah cara memasang perkhidmatan di mesin kita tanpa dapat dikesan: di situlah rootkit masuk. Pengguna dibuat yang akan menjadi pengguna berkesan perkhidmatan yang ingin kita sembunyikan, mereka memasang rootkit, dan mereka menyembunyikan kedua pengguna itu dan semua proses yang dimiliki oleh pengguna tersebut.
Cara menyembunyikan keberadaan pengguna berguna bagi virus adalah sesuatu yang dapat kita bicarakan panjang lebar, tetapi virus yang menggunakan rootkit untuk memasangnya sendiri nampaknya menyenangkan. Mari kita bayangkan mekanisme virus (dalam pseudocode):
1) Virus memasuki sistem.
2) Cari kod sumber kernel. Sekiranya tidak, dia memasangnya sendiri.
3) Konfigurasikan kernel untuk pilihan perkakasan yang berlaku pada mesin yang dimaksudkan.
4) Menyusun kernel.
5) Pasang kernel baru; mengubah suai LILO atau GRUB jika perlu.
6) Nyalakan semula mesin.

Langkah (5) dan (6) memerlukan hak istimewa root. Agak rumit bahawa langkah (4) dan (6) tidak dikesan oleh mereka yang dijangkiti. Tetapi yang melucukan ialah ada seseorang yang percaya bahawa ada program yang dapat melakukan langkah (2) dan (3) secara automatik.
Sebagai kemuncaknya, jika kita menemui seseorang yang memberitahu kita "apabila ada lebih banyak mesin Linux akan ada lebih banyak virus", dan mengesyorkan agar kita "memasang antivirus dan terus memperbaruinya", itu mungkin berkaitan dengan syarikat yang menjual antivirus dan kemas kini. Bersikap curiga, mungkin pemilik yang sama.

Antivirus untuk Linux:

Memang ada antivirus yang bagus untuk Linux. Masalahnya, mereka tidak melakukan apa yang dibahaskan oleh penyokong antivirus. Fungsinya adalah untuk menyaring surat yang dihantar dari perisian hasad dan virus ke Windows, serta untuk mengesahkan adanya virus Windows dalam folder yang dieksport melalui SAMBA; jadi jika kita menggunakan mesin kita sebagai pintu masuk e-mel atau sebagai NAS untuk mesin Windows, kita dapat melindunginya.

Clam-AV:

Kami tidak akan menyelesaikan laporan kami tanpa membicarakan antivirus utama untuk GNU / Linux: ClamAV.
ClamAV adalah antivirus GPL yang sangat kuat yang menyusun sebahagian besar Unix yang terdapat di pasaran. Ia dirancang untuk menganalisis lampiran ke surat mel yang melewati stesen dan menyaringnya untuk virus.
Aplikasi ini berintegrasi sempurna dengan sendmail untuk membolehkan penyaringan virus yang dapat disimpan di pelayan Linux yang memberikan surat kepada syarikat; mempunyai pangkalan data virus yang dikemas kini setiap hari, dengan sokongan digital. Pangkalan data dikemas kini beberapa kali sehari, dan ini adalah projek yang meriah dan sangat menarik.
Program hebat ini mampu menganalisis virus walaupun dalam lampiran dalam format yang lebih kompleks untuk dibuka, seperti RAR (2.0), Zip, Gzip, Bzip2, Tar, MS OLE2, fail MS Cabinet, MS CHM (HTML COprinted), dan MS SZDD .
ClamAV juga menyokong fail mel mbox, Maildir, dan RAW, dan fail Portable Executable yang dimampatkan dengan UPX, FSG, dan Petite. Pasangan Clam AV dan spamassassin adalah pasangan yang sempurna untuk melindungi pelanggan Windows kami dari pelayan mel Unix.

KESIMPULAN

Untuk persoalan Adakah kelemahan dalam sistem Linux? jawapannya pasti ya.
Tidak ada orang di fikiran yang betul meragukannya; Linux bukan OpenBSD. Perkara lain adalah tetingkap kerentanan yang dimiliki sistem Linux yang dikemas kini dengan betul. Sekiranya kita bertanya kepada diri kita sendiri, apakah ada alat untuk memanfaatkan lubang keselamatan ini, dan memanfaatkannya? Ya, ya, tetapi ini bukan virus, itu adalah eksploitasi.

Virus ini mesti mengatasi beberapa kesukaran yang selalu ditimbulkan sebagai cacat / masalah Linux oleh pembela Windows, dan yang merumitkan kewujudan virus sebenar - kernel yang dikompilasi ulang, banyak versi dari banyak aplikasi, banyak pengedaran, hal-hal yang ia tidak diserahkan secara automatik secara telus kepada pengguna, dsb .–. "Virus" teori semasa mesti dipasang secara manual dari akaun root. Tetapi itu tidak boleh dianggap sebagai virus.
Seperti yang selalu saya katakan kepada pelajar saya: tolong jangan percaya. Muat turun dan pasang rootkit pada mesin. Dan jika anda mahukan lebih banyak lagi, baca kod sumber "virus" di pasaran. Kebenaran ada dalam kod sumber. Sukar bagi virus "memproklamirkan diri" untuk terus menamakannya begitu setelah membaca kodenya. Dan jika anda tidak tahu membaca kod, satu langkah keselamatan sederhana yang saya cadangkan: gunakan akaun root hanya untuk mentadbir mesin, dan sentiasa kemas kini keselamatan.
Hanya dengan itu tidak mungkin virus memasuki anda dan tidak mungkin cacing atau seseorang akan menyerang mesin anda dengan jayanya.