Десять лучших антивирусов для Linux

https://www.ubuntupit.com/best-linux-antivirus-top-10-reviewed-compared/
  • Перевод
Операционные системы — это очень сложные конструкции, в которых находится место для ошибок, проблем и других нежелательных явлений. Особые опасения вызывают искусственно созданные «явления», которые мы называем вирусами, троянскими конями, сетевыми червями и шпионскими программами. Операционные системы семейства Linux считаются неплохо защищёнными от подобного рода проблем, но вероятность их возникновения далеко не нулевая. Для защиты от вредоносного ПО специалисты по безопасности разрабатывают программы, которые обычно называют антивирусами.



Сегодня мы рассмотрим десять лучших антивирусов для Linux. В Сети можно найти немало рассуждений о «самых лучших антивирусах», но мы полагаем, что доверять стоит не рассуждениям, а фактам. Программы, представленные здесь, отлично показали себя в независимых исследованиях, и именно поэтому они попали в этот обзор.

1. Sophos


По результатам исследований, Sophos можно признать одним из лучших бесплатных антивирусов для Linux. Он не только поддерживает сканирование по запросу, но и обеспечивает защиту системы в реальном времени. Существуют разные варианты этого антивируса, помимо Linux, он может использоваться и на других платформах, например, на Windows и Android. Он способен обнаруживать и удалять червей и троянцев. Если вы любите покопаться в командной строке, он предоставляет соответствующий интерфейс.

▍Особенности Sophos


  • Бесплатность.
  • Поддержка графического интерфейса и командной строки.
  • Обнаружение и удаление вредоносного ПО.
  • Подходит для защиты от червей, троянских программ, вирусов и от другого вредоносного ПО.
  • Занимает мало места, лёгок в установке и использовании.
  • Кроссплатформенность.
  • Позволяет блокировать и устранять угрозы не только в Linux.

2. Comodo


Антивирус Comodo также можно считать одним из лучших. Он хорошо известен благодаря отличной поддержке разных архитектур и кроссплатформенности. Кроме того, он умеет сканировать электронную почту, такая возможность в других программах встречается нечасто. Comodo для Windows, кроме того, содержит модуль файрвола, работающий на 32 и 64-битных архитектурах. Антивирус Comodo для Linux поддерживает практически все дистрибутивы, поэтому он весьма широко распространён среди пользователей Linux. Ещё одна замечательная возможность Comodo заключается в том, что этот антивирус может работать и на сервере, например, на Red Hat Enterprise Linux Server, OpenSUSE, и SUSE Linux Enterprise Server.

▍Особенности Comodo


  • Бесплатность.
  • Простота установки и использования.
  • Сканирование по требованию, отсутствие ложных срабатываний.
  • Защита в реальном времени.
  • Защита от спама.
  • Кроссплатформенность.
  • Поддержка серверных дистрибутивов Linux.

3. ClamAV


Пожалуй это — самый известный в сообществе Linux антивирус. ClamAV — это проект с открытым исходным кодом, пользоваться им можно бесплатно. Он считается многопрофильным антивирусом, который умеет бороться с троянцами, вирусами, другими вредоносными программами. Кроме того, он поддерживает сканирование стандартных почтовых шлюзов. Пользоваться им легко, работает он быстро, так как не имеет графического интерфейса и им управляют из терминала.

▍Особенности ClamAV


  • Открытый исходный код.
  • Бесплатность.
  • Кроссплатформенность (Linux, Windows, MacOS).
  • Работает из терминала.
  • Поддерживает почтовые службы.
  • Совместим с POSIX.
  • Не требует установки.

4. F-PROT


F-PROT — это хорошо известный антивирус для Linux. Его можно использовать как для домашних нужд, так и в организациях. Он поддерживает 32-битные и 64-битные программные архитектуры. Он умеет обнаруживать более 2119958 известных вирусов, а также — их разновидности. С его помощью можно бороться и с троянскими программами и даже с загрузочными вирусами. Этот антивирус не требует установки, он умеет выполнять сканирование по расписанию с использованием заданий cron.

▍Особенности F-PROT


  • Бесплатность.
  • Не требует установки.
  • Умеет детектировать более 21 миллиона угроз.
  • Поддерживает различных программные архитектуры.
  • Умеет проверять внешние носители информации.
  • При сканировании может выявлять загрузочные вирусы, макровирусы и троянские программы.

5. Chkrootkit


Из названия этого антивируса, Chkrootkit, можно предположить, что он работает с правами root-пользователя. И на самом деле — так оно и есть. Это, честно говоря, наиболее удачное решение для поиска руткитов на Linux.

Программа занимает мало места и не требует установки. Её можно записать на CD или на USB-диск. Пакет Chkrootkit содержит множество модулей, способных удовлетворить нуждам самого взыскательного пользователя.

▍Особенности Chkrootkit


  • Обнаружение руткитов.
  • Малый размер.
  • Не требует установки.
  • Лёгок в использовании и быстро работает.
  • Запускается из терминала.
  • Имеет богатые возможности.

6. Rootkit Hunter


Rootkit Hunter — это ещё одно отличное средство для поиска руткитов. Программа работает из терминала, умеет распознавать руткиты, бэкдоры и другие локальные эксплойты, умеет искать вредоносный код в обычных текстах, а также выполнять проверки системы на предмет наличия характерных признаков вредоносного ПО. Для работы Rootkit Hunter требуется BASH, он поддерживает обширный набор дистрибутивов Linux.

▍Особенности Rootkit Hunter


  • Обнаружение руткитов.
  • Поддержка интерфейса командной строки.
  • Лёгок в использовании и быстро работает.
  • Поддерживает сканирование текстовых файлов.
  • Не требует установки.

7. ClamTK


ClamTK — это усовершенствованная версия ClamAV, обладающая простым графическим интерфейсом и предназначенная для широкого круга пользователей. Благодаря наличию графического интерфейса, пользоваться этим антивирусом очень легко, у него есть подсистема для сканирования по требованию. Проект написан на Perl с использованием библиотеки GTK.

▍Особенности ClamTK


  • Открытый исходный код.
  • Бесплатность.
  • Графический интерфейс.
  • Поддержка сканирования по требованию.
  • Не требует установки

8. BitDefender


Вполне возможно, что BitDefender может стать вашим следующим антивирусом. Он отлично справляется со своими обязанностями. Есть, правда, одно «но» — программа это не бесплатная, для загрузки доступна пробная версия. Однако, это не умаляет достоинств данного антивируса.

▍Особенности BitDefender


  • Сканирование архивов.
  • Интеграция с окружением рабочего стола.
  • Интуитивно понятный графический интерфейс и возможность работать из командной строки.
  • Отправка заражённых файлов на карантин в защищённую директорию.

9. ESET NOD32 Antivirus 4


В испытаниях ESET занимает верхнюю строчку рейтингов и признан лучшим антивирусом для Linux. Однако, продукт это платный, бесплатно его можно лишь попробовать. Правда, возможности этого антивируса позволяют говорить о том, что он стоит тех денег, что за него просят. Можно сказать, что это — лучший антивирус для Linux, существуют его версии и для других ОС.

▍Особенности ESET NOD32 Antivirus 4


  • Лучшая программа для обнаружения вирусов и других вредоносных программ по результатам испытаний.
  • Лучшее средство для защиты от вирусов и шпионского ПО.
  • Подходит для домашних пользователей и для организаций.
  • Поддержка функций сетевой безопасности.
  • Автоматическое обновление.

10. Avast Core Security


Avast Core Security — это последняя программа, которую мы рассмотрим, однако, это не значит, что она хуже других. Avast Core Security входит в список лучших антивирусов по результатам испытаний. Антивирус поддерживает множество Linux-дистрибутивов, 32-битные и 64-битные программные архитектуры. Помимо традиционной защиты от вирусов, он содержит средства для обеспечения сетевой безопасности и защиты файловых серверов. Продукт это платный, но его пробная версия выглядит весьма достойно даже в сравнении с бесплатными антивирусами, в чём-то даже у них выигрывая.

▍Особенности Avast Core Security


  • Антивирусная защита в реальном времени с возможностью обнаружения шпионского ПО.
  • Сканирование по запросу и запланированное сканирование.
  • Защита сети.
  • Подходит для домашних пользователей и для организаций.
  • Регулярные обновления.

Итоги


Мы постарались рассказать здесь о лучших антивирусах для Linux, основываясь на различных характеристиках этих программ, таких, как цена, доступность, надёжность и результаты независимых испытаний. Вы могли заметить, что список начинали бесплатные продукты, среди которых любой сможет подобрать подходящий Linux-антивирус. Дальше шли платные программы, имеющие пробные версии, которые показывают очень высокие результаты в тестах. Вполне возможно, что вам приглянётся одна из них. В целом же можно сказать, что любой из рассмотренных здесь антивирусов поможет вам защититься от вредоносного ПО.

Уважаемые читатели! Какими антивирусами для Linux вы пользуетесь?
RUVDS.com 499,97
RUVDS – хостинг VDS/VPS серверов
Поделиться публикацией
Комментарии 130
  • +11
    Десять лучших антивирусов для Linux

    Лучших по описанию на сайте издателя?
    А где же результаты тестирования на обнаружение?
    • +1
      К результатам тестирования бы еще методику… Но в любом случае, можно так подобрать файлы, чтобы нужный результат был у нужного АВ ;-)
      • 0
        Обзор ни о чем. Лучшие антивирусы для чего? Для домашних пользователей? Так Линукс сейчас далеко не только для домашних систем. Да и не все системы лицензирования доступные пользователям рассмотрены. Для корпоратива? Но корпоративные версии не упомянуты.
        Нет ни касперского, ни доктор веба. Ну ладно веб в тестах редко участвует, но касперского разве в тестах не участвует?
        Если говорить по функционалу, то у веба скажем есть возможность подключения плагинов Кламава — он расширяемый. Есть не только постоянная защита и сканер по требованию, но и файрвол с проверкой трафика

        Ну это ладно. Начиная с конца прошлого года огромное количество троянов идет для версий Линукс, используемых в сетевом оборудовании. У веба против этого есть возможность сканирования удаленных систем (роутеров тех же)

        Если говорить о домашних пользователях, то нет упоминаний об антивирусах по подписке (SaaS-антивирусах). Там помесячная оплата и возможность включения/отключения в любой момент и самого антивируса и его функционала в рамках подписок

        Это по памяти и не заглядывая на сайты обоих антивирусов
      • +10
        Побуду консервативным пингвиноводом и задам вопрос, древний, как бивни мамонта в вечной мерзлоте: «А зачем линуксу антивирус?»
        • +4
          Например, проверять почту на шлюзе, или виндовые шары.
          • +1
            Т.е. если ибавиться от винды, то антивирус станет не нужен. Вообще хорошее направление для индустрии было-бы, и полезного софта для сферического пользователя в вакууме стало бы больше.
            • 0
              Вот когда софт появится, тогда и избавимся.
              • 0
                Какой софт?
                • 0
                  > и полезного софта для сферического пользователя в вакууме стало бы больше.

                  Классическая путаница причины со следствием.
                  • 0
                    Ну, скажем, если бы Мюнхен допиливал свои программы под линукс, то оказалось бы ровно так, как в том комментарии, на который вы отвечали.
                    • 0
                      А если бы Adobe переписал фотошоп под линукс, а если бы EA начала выпускать Call of Duty под линукс, а если бы бабушка…
                      Я ж не спорю со всем этим. Просто есть очевидные факты: существует маргинальная (в отношении десктопов) система, которая никому не нужна. Хотите поднять уровень её распространённости до хотя бы OSX? Давайте! Пересаживайте знакомых, мам-пап-бабушек и так далее. Практика показывает, что это не работает.
                      • 0
                        которая никому не нужна

                        Мне нужна. У меня линукс в качестве десктопа и windows на отдельной машине в качестве запускалки для игр.

                        Хотите поднять уровень её распространённости до хотя бы OSX?

                        Не хочу, мне это не нужно. Мне просто очень интересно, какого десктоп-софта всем так не хватает. И, несомненно же, всем нужна вся мощь фотошопа.

                        Пересаживайте знакомых, мам-пап-бабушек и так далее. Практика показывает, что это не работает.

                        Что не работает?

                        Бесплатной техподдержкой для знакомых я быть не хочу. Правда, я и windows им не устанавливаю, ну да ладно. А родителям на домашние железки я давно линукс поставил, и всё в порядке.
                        • 0
                          > Мне просто очень интересно, какого десктоп-софта всем так не хватает. И, несомненно же, всем нужна вся мощь фотошопа.

                          Спросите у 90%. Вы преувеличиваете элитарность (кстати, ничего хорошего в ней нет) линукса. У меня не один знакомый(ая) его ставили, и очень удобно, и антивирус не нужен, и всё летает… а через неделю опять винда, потому что нет этого, этого или этого.

                          > А родителям на домашние железки я давно линукс поставил, и всё в порядке.

                          Вот судя по таким комментариям, весь мир уже должен быть на линуксе, а поди ж ты! Всё на том же уровне и остаётся.
                          • 0
                            Спросите у 90%.

                            Не могу спросить все 90% сразу, поэтому спрашиваю по отдельности.

                            Вы преувеличиваете элитарность (кстати, ничего хорошего в ней нет) линукса.

                            Я не считаю линукс элитарным (и предпочитаю не рассуждать в таких терминах, они не очень конструктивные). Маргинальным — да, но для меня это и хорошо. Это значит, например, что моя машина никогда не будет решать за меня, когда ей перезагружаться, когда ей ставить обновления, и так далее, потому что для 90% людей это полезно.

                            У меня не один знакомый(ая) его ставили, и очень удобно, и антивирус не нужен, и всё летает… а через неделю опять винда, потому что нет этого, этого или этого.

                            Интересно, чего.

                            Да и я то же самое мог бы сказать, только винду на рабочую машину я даже и не хочу ставить, потому что знаю, что мне там будет очень неудобно, и опыт с игровой машиной это подтверждает.

                            Вот судя по таким комментариям, весь мир уже должен быть на линуксе, а поди ж ты!

                            Не знаю, чего там кому мир должен, просто делюсь своим опытом.
                            • 0
                              Я лишь ответил на ваш комментарий по поводу «если бы». «Если бы» подразумевает, что если бы я сделал что-либо, от этого мне был бы какой-то профит. Очевидно, что в данном случае профита нет.
                              • 0

                                То с чем сталкивался я:


                                • Гораздо сложнее установить драйвера и ПО для большинства принтеров, сканеров (есть те который, просто подключил и все работает, но такие мне попадались редко). А если кто-то использует какие-нибудь хитрые мультимедийные клавиатуры и мышки, то их настройка может занять кучу времени, точнее поиск того как это сделать, сама настройка, скорей всего, закончится правкой нескольких строк в каком-нибудь конфиге.
                                • Необходимость иметь именно MS Office, да еще и желательно конкретной версии, так как документ отредактированный в более новой версии может (и такое не редкость) криво отобразится в предыдущей версии. Проверял на 2016, 2010 и 2007 офисах, речь идет об docx файлах. С doc файлами проблем меньше, но и возможности редактирования меньше. С презентациями тоже грустно — сделанная в Open (Libre) Office с большой вероятностью криво откроется в MS Office.

                                Это, пожалуй, самое основное. По поводу Photoshop — не знаю, мне вполне хватает GIMP, а для векторной графики Inkscape. Я их и на Windows использую. У кого спрашивал по поводу сравнения Photoshop и GIMP, единственный реальный аргумент был в том, что интерфейс Photoshop удобнее. К GIMP сложно привыкнуть после него. Еще слышал, что Photoshop более функционален, но так никто точно и не назвал, чего именно не хватает в GIMP. Исключение — проприетарные конверторы из RAW которые идут вместе с фотоаппаратами. Но это опять же из области поддержки оборудования. Для своего я нашел конвертор, к сожалению, он расчитан на работу фотоаппарата со сменными объективами и не может автоматически исправить искажения созданные моим встроенным объективом с переменным зумом.

                                • 0
                                  Ну, железо приходится покупать под софт в любом случае, это универсальный принцип. Да и софт под софт иногда — не слышали про необходимость запуска 1С:7.7 под виртуалкой на современных Windows, скажем?

                                  Про MSO — я им вообще не пользуюсь. У родителей LibreOffice вполне сносно пашет. Но им нужны достаточно базовые функции, поэтому, вероятно, для некоторых юзкейсов либры будет недостаточно.
                                  • 0
                                    Ну я говорю, про условно домашнее применение. Да и с покупкой железа под Linux несколько сложнее надо искать смотреть на сайте производителя. Хотя сейчас, для некоторых устройствах, пишут на упаковке, что совместимо с Linux. Но совместимость, означает, что либо драйверов не нужно вовсе (чаще будет работать с граниченным функционалом) или есть драйвера на сайте производителя, но их установка не всегда тривиальна, чаще, гораздо сложнее чем запустить Setup.exe и следовать инструкциям.

                                    Мне тоже Libre Office хватает с головой, и если что-то надо куда-то отправить или где-то показать, то делаю pdf — и никаких проблем. Но когда нужно отправить документ с вставленными картинками, а поверх картинок еще текст под наклоном написанный, вот тут все и разъезжалось в разные стороны. Но такое по разному отображалось и в разных версия MSO.

                                    Кстати 1С 7.7 у меня запускалась на Windows Vista, без виртуалки, да и на Windows 7 тоже. Причем была версия которая требовала перкодировки БД и после этого она переставала работать нормально на Windows XP (требовалась перекодировка), а была версия и с патчем, в которой перекодировки не требовалось. Но это речь о 1С которая работала с локальной БД. А с необходимостью виртуалки я столкнулся позже с каким-то Банк-Клиентом, толи он сам, то ли часть отвечающая за криптографию не работали под Windows 7. Да и под линуксом у меня такое было. Мне понадобился кросс-компилятор для Symbian OS, он был или под Windows или под Linux c ядром 2.xx. А в тот момент уже все популярные дистрибутивы перешли на 3.xx и только debian еще можно было скачать со старым ядром.
              • +3
                У меня не сервер, а десктоп. Нету ни шлюза, ни почты, ни виндовых шар. Вопрос «зачем?» остался.
                • +2
                  Как только доля линукса на десктопах поднимется до заметного значения, тогда и вопрос отпадёт сам собой.
                  • –1
                    майнеры, ddos-атаки, рассылка спама. Это основное. Очень много пишут троянов для роутеров. А вообще, как я написал выше — открываем updates.drweb.com и ищем все вхождения по слову Linux
                • 0

                  Однажды червь пробрался на диски журнала LinuxFormat. И был успешно растиражирован и разослан читателям. Валентин Синицин, как главный редактор, давал пояснения по этому факту. Линукс не пострадал, досталось остальным. На этом случае вопрос о необходимости антивируса на Линукс закрыли. Антивирус нужен для пресечения распространения заразы.

                  • 0
                    Давно это было. Существенный рост заразы для Линукса начался с Мираи (конец прошлого года) и сейчас идет за счет майнеров
                    А тогда да, пара-тройка вирусов в год
                  • –1
                    Открываем updates.drweb.com и ищем все вхождения по слову Linux. Это то, что добавлено (поступило на анализ и разобрано) за текущий день, если нужно, можно посмотреть за любые периоды

                    Утро только началось, а уже за сотню разных модификаций.
                    • 0
                      Скажите, а как это гвн попадает на компьютеры?
                      Как на андроид «Разрешить установку с неизвестных источников, Принять, Далее, Далее, Запустить»?
                      Значит антивирус для линукса нужен столько же сколько антивирус для андроида?
                      Для пользователей которых по хорошему и подпускать к компу нельзя и для кулхацкеров сидящих из под рута?
                      • 0
                        Линукса на десктопах существенно ниже чем Андроидов (так скати кроме установки из неизвестных источников есть установки с гуглоплея, вшитые трояны и установки через уязвимости — по убыванию вероятности получить троян). Поэтому для Линукс существенно меньше троянов и вирусов, рассчитанных на простых пользователей. Если мы не говорим о заражении роутеров и иных устройств (под них пишется огромное количество вирья), то заражения идут в основном через уязвимости и загрузку зараженного ПО (в существенно меньшем количестве).
                        Более подробно об особенностях вирусов и антивирусов под линукс я написал в комментарии уважаемому 0xd34df00d
                        • 0
                          Если интересны примеры — также написал их в ответе уважаемому 0xd34df00d
                    • +1
                      • –5
                        Взломать можно все, но смысл весь в том, что в линуксе меньше возможностей.
                        Скачивание левого софта отпадает — репозитарии
                        Дыры быстро латаются в opensource программах
                        Я слежу за запущенными процессами, а также смотрю активность сети.
                        В общем это многие пользователи и под windows делают в виде виджетов.
                        В случае ботнета все будет заметно.
                        Теперь возмем локеры — создаем root пользователя, и в случае проблем под юзером мы просто жмем Ctrl+alt+F1 заходим под рутом и убиваем локер)
                        Ну а дальше уже легко все прикроется, ведь под windows нет общей системы обновлений для всех программ, вот и выходит, что пользователи используют устаревшие версии с набором багов и дыр.
                        Под Linux не нужен антивирус по причине того, что проще залатать правильно дыру и залить в репозитарий исправление, чем городить поверх системы костыли, которые будут выполнять ту же функцию)
                        • +4
                          Дыры быстро латаются в opensource программах

                          Heartbleed, Shellshock… Не всегда, к сожалению.

                          • +2
                            Я бы посмотрел, как через heartbleed вы сломаете средний домашний десктоп, и как антивирус поможет против heartbleed, например.
                            • +1

                              а зачем через хартблид ломать средний десктоп домашний, что там интересного? другое дело сервер, где данные кредиток и пароли от платных сервисов:)


                              Я вообще-то не утверждал, что антивирус панацея. Я сказал, что открытые исходники — тоже, к сожалению, не панацея (хотя в среднем к софту с открытым кодом у меня лично все-таки больше доверия — хартблиды не каждый день находят).

                            • 0

                              Какой из перечисленный антивирусов ловил Heartbleed/Shellshock до выхода исправлений соответствующего софта?

                              • 0

                                Еще один с функциональной неграмотностью… Где у меня хоть слово про антивирусы?

                                • –1
                                  Ещё один после вас, что ли?

                                  Мы, если вы не заметили, в комментариях под постом об антивирусах. Не теряйте контекст.
                            • –1
                              Дыры быстро латаются в opensource программах
                              актуальные версии хрома и хромимума вслух сравните, пожалуйста...
                              • +1

                                А ещё вирусы напрямую заливаются в репозиторий, как показал недавний опыт…
                                Что будет с репозиториями, когда их популярность будет сравнима с google Play?

                              • +7
                                ClamTK — это усовершенствованная версия ClamAV

                                Нет, это graphical front-end (ровно так написано и на его сайте).
                                • –7

                                  +1

                                  • +1

                                    А теперь за что? Помню что писал что "+1" это слишком коротко, но все же прислушался мнения того человека который сказал что лучше так.

                                    • +2
                                      Лучше проголосовать за комментарий, чем плодить цепочки +1. Опять же это нагляднее показывает отношение пользователей к данному комментарию.

                                      Я не знаю, могут ли read-only пользователи голосовать за комментарии, но написать публикацию, которая пройдет модерацию — не самое сложное дело.
                                      • 0

                                        И в этом весь прикол что проголосовать не могу, а возможно и вообще не смогу из-за некоторых не указанных и не указываемых личностей.


                                        Я не знаю, могут ли read-only пользователи голосовать за комментарии,

                                        Read-only не имею прав что либо делать на сайте кроме чтения. Они как Unregistred/Guest.
                                        Registred Могут писать статьи и комментарии(не старее 10 дней с пре-модерацией n(точного числа я не помню) комментариев), но не могут менять значение кармы.
                                        Verified/Invited могут все кроме админских и модераторских функций.


                                        но написать публикацию, которая пройдет модерацию — не самое сложное дело.

                                        Кому как, я могу писать комментарии, но из меня статьеписатель просто никудышный. Даже придумать(это сложнее всего) пока не могу о чем писать статью. (Поскольку понимаю что получится полнейший бред либо чушь.)

                                        • +1
                                          И в этом весь прикол что проголосовать не могу, а возможно и вообще не смогу из-за некоторых не указанных и не указываемых личностей.

                                          Увы, но такова политика данного ресурса. Вы можете ее или принять, или перестать пользоваться. От того, что Вы напишите "+1" в комментариях рейтинг комментария/статьи/автора не изменится. Этот комментарий будет только замусоривать ленту, вызывать недовольство общественности и как результат — уменьшение рейтинга и кармы.

                                          Кому как, я могу писать комментарии, но из меня статьеписатель просто никудышный.

                                          Относитесь к комментариям как к мини-статьям на заданную (публикацией) тему. Тогда и ваш рейтинг не будет уменьшаться, а возможно и поднимется. Часто из комментариев можно получить много полезной информации, и не хотелось бы, чтобы обсуждение прерывалось бессмысленными комментариями.

                                          Тему для публикации придумать не просто, согласен. Но, может быть, Вы читаете какой-нибудь тематический блог на другом языке и можете сделать хороший перевод. А может у вас есть собственный проект — попробуйте его презентовать, вдруг общественности это понравится. Можно попробовать сделать обзор программы (или плагина), которая вам сильно помогает. Или Вы сталкивались с какими-нибудь сложностями в работе и можете поделиться опытом.

                                          Не обязательно, чтобы ваша статья несла что-то принципиально новое. Систематизация разрозненных знаний тоже может быть полезна и хорошо принята модераторами и пользователями Хабра.
                                          • 0
                                            Увы, но такова политика данного ресурса. Вы можете ее или принять, или перестать пользоваться. От того, что Вы напишите "+1" в комментариях рейтинг комментария/статьи/автора не изменится. Этот комментарий будет только замусоривать ленту, вызывать недовольство общественности и как результат — уменьшение рейтинга и кармы.

                                            По факту да это так, я не спорю, я поддерживаю такую политику, хоть знаю что сам написал тот комментарий что аж пожаловался сам на минуса, прошу понять и простить.


                                            Относитесь к комментариям как к мини-статьям на заданную (публикацией) тему.

                                            Хорошая идея. Спасибо.


                                            Тогда и ваш рейтинг не будет уменьшаться, а возможно и поднимется.

                                            Мне к сожалению до лампочки этот рейтинг. Меня больше карма беспокоит.


                                            Часто из комментариев можно получить много полезной информации, и не хотелось бы, чтобы обсуждение прерывалось бессмысленными комментариями.

                                            С этим согласен.


                                            Тему для публикации придумать не просто, согласен.

                                            Хотя у меня есть одна идейка, но она больше связана с тематикой (Не)образованной молодежи, но больше уходит в мою личную историю


                                            Но, может быть, Вы читаете какой-нибудь тематический блог на другом языке и можете сделать хороший перевод.

                                            К сожалению блогов я не читаю, но насчет этого думал, но пока нет.
                                            Я не думаю что нормальный перевод получится от человека который изучал германский язык, зная чуток английского языка, немного углубляясь в германский только больше понимал английский, а не германский. Да и который уже стремлюсь забыть ибо нет желания ехать в ФРГ.


                                            А может у вас есть собственный проект — попробуйте его презентовать, вдруг общественности это понравится.

                                            Я конечно пишу небольшой проектик модульного HTTP сервера на Python 2, но я не думаю что clean as glass bottle with a vacuum inside проект будет кому-то нужен.


                                            Можно попробовать сделать обзор программы (или плагина), которая вам сильно помогает.

                                            Ну уж тут точно все эти обзоры программ и плагинов которые мне помогают есть.


                                            Или Вы сталкивались с какими-нибудь сложностями в работе и можете поделиться опытом.

                                            А вот сложности тут уже есть пара идей что можно написать.


                                            Не обязательно, чтобы ваша статья несла что-то принципиально новое.

                                            Согласен, да это не обязательно.


                                            Систематизация разрозненных знаний тоже может быть полезна и хорошо принята модераторами и пользователями Хабра.

                                            Я могу попробовать это сделать, может свою дипломку удастся сюда применить. (Текстовую часть конечно, но я могу сказать точно что это будет просто как cheatsheet.)

                                • 0
                                  Слово «лучших» в названии статьи не лишнее?
                                  • 0

                                    :facepalm:
                                    Хоть бы названия правильно переписали — chkrootkit… От слова check, а не chroot! Буква пропущена.

                                  • +5
                                    Последний раз я антивирус ставил в 2006г.
                                    Вот уже 11 лет живу как то без антивируса и все отлично.
                                    Ладно еще на винде ставить антивирус, хотя и там он не особо нужен, но на nix системах?
                                    Не представляю, зачем пользователю антивирус в наше время на дескопной машине.
                                    • +4

                                      Принцип Хабра: не знаешь о чем писать — переведи очередной треш с Медиума.

                                      • +1
                                        Dr.Web for Linux забыли.
                                        • –1
                                          По ClamAV — коллега проверял EICAR test file, антивирус и ухом не моргнул
                                          • –1

                                            Странно, я когда первый раз столкнулся с ClamAV, как раз на EICAR и проверял, т.к. вирусов под рукой не было :)
                                            И было это лет 10 назад

                                            • –1
                                              Либо клам без баз был, либо EICAR битый был ну или /dev/hands забыли обновить. Я EICARом тестирую почтовики после настройки (и угадайте, кто там в роли антивируса) — всё прекрасно находится.
                                            • –1
                                              Самый лучший антивирус для Linux (и не только для него) — это голова на плечах (с мозгами само собой, а не та что ест).

                                              Ну а если более серьезно отвечать на вопрос в конце статьи, то: никакой. Вирусы как таковые в среде Linux имеют распространение в форме слухов (кто-то даже криптолокер смог под вайн собрать, правда не заработало толком....).
                                              Дыры? Дыры — да находят, латают, через незалатанные проникают… могут напакастить… просто не надо наружу портами ненужными светить и почаще скрипторезку в браузере на десктопе использовать.
                                              • –3
                                                Открываем updates.drweb.com (добавленные записи в антивирусные записи за день) и ищем все вхождения по слову Linux.
                                                Зачем слухи, если есть точные данные? Вот совсем свежее
                                                Троянец, получивший наименование Linux.BackDoor.Hook.1, был обнаружен в библиотеке libz

                                                (https://news.drweb.ru/show/?i=11593)
                                                Мираи все развивается (https://news.drweb.ru/show/?i=11552)
                                                • 0
                                                  Вирусописатели продавцы антивирусов конечно же самый достоверный источник об угрозах.
                                                  Тут недавно статья была с анализом уязвимостей разных ОС. Там по всем linux платформам уязвимости из топа опасных в огненной лисе и хроме.
                                                  А то что пишут вирусописатели продавцы антивирусов даже при очень большом желании не найти и не воспроизвести.
                                                  • 0
                                                    Я лично ловил. Кстати очень давно. Взломанный новостной сайт, автоматически определявший используемую ОС.
                                                    А так… Я не собираюсь вас переубеждать. Вирусов действительно меньше, чем для Андроида и Виндовс. Но в поддержку люди с проблемами приходят.
                                                    Мне лично другое интересно. Вы лично верите, что мы с утра написали за сотню линуксовых вирей (раз вы поставили разработчиков антивирусов в ряд с вирусописателями)?
                                                    • 0
                                                      Вам видимо нужно поставить пачку смайлов чтобы вы уловили сарказм… Вирусы тот же касперский успешно пишет в новостном списке десятками в месяц, только найти их днем с огнем не удается (пробовал).

                                                      Ну да ладно…

                                                      Вот взломанный новостной сайт — как соотносится с «вирусами для Linux»? Сайт там был на Linux или просто CMS дырявая стояла?
                                                      • 0
                                                        При попытке захода на сайт пытался загрузиться вирус. На чем сайт — не разбирался. Я на линуксе работал, мне и пыталось грузиться

                                                        А смайлы… Я извиняюсь перед вами. Но вы не представляете — сколько народу действительно так считает. Реально был случай — человек испытательный прошел, подходит и спрашивает — ну я теперь здесь работаю, покажите мне где у нас вирусы пишут?
                                                        На каждой второй конференции так или иначе вопрос об этом задают. Люди просто не представляют СКОЛЬКО нам в день приходит новых образцов

                                                        Если говорить о том, что я сталкивался — роутеры. Дыр валом, поэтому опрос по сети и заражение. Вторая проблема — уверенность, что линукс по умолчанию крут. Не читаются новости, не ставятся обновления на сервера, выставленные в сеть

                                                        Если говорить о новостях — забавно то, что лучше бы их не было (смайл грустный). Как только выходит новость в широкое СМИ, то набегает волна аналогов.

                                                        Если есть вопросы по линуксовому вирью — спрашивайте. Могу спросить у вирлаба. На все ответов не обещаю, но спросить могу
                                                        • 0
                                                          Вопрос на который я не жду ответа: дайте мне хоть один работающий вирус, который я смогу запустить (без пересборки) на произвольной Linux платформе и этот вирус сработает.

                                                          А рефлексировать на то, что вирусописателей видят в антивирусописателях — вовсе не стоит. Потому как вирус писать на новостной странице — это тоже вирус (в мозг доверчивых) причем вирус призванный к получению прибыли. И чем такие фейко-новости про очередной linux-вирус так уж сильно отличается от любого крипто-вымогателя?
                                                          • 0
                                                            Вирусов не раздаем. Постоянно просят для тестирования при внедрении и журналисты для тестов. Но если хоть раз кто узнает, что мы распространяем вирусы — не отмоемся

                                                            Если о новостях, то новости у нас, каспера, есета не фейковые. Описания вирусов и все. Обычно трояны попадаются сразу всем, соответственно если разбор будет кривой, в тусовке вспоминать будут долго. Обычно новости кривые у тех, кто сам не имеет статистики по десктопам или нет собственной антивирусной лаборатории. Вопрос выбора источников.

                                                            Я бы даже сказал, что мало новостей. Новость о новом трояне/вирусе/черве — ну раз в неделю, ну два. У людей создается впечатление, что вирья мало. А его вагон. Одних шифровальщиков штук 20 в день сигнатур добавляется. А уж довнлоадеров и адвари…

                                                            Это реально очень плохо. Недооценка рисков, неверная оценка рисков. Приходишь на конференцию, к заказчику. Спрашиваешь — сколько нам образцов приходит на анализ? Называют цифры 10, 100 и тд. Говоришь — миллион в день. Шок. В чем недооценка рисков — недооценка изменчивости вредоносного ПО. Организации полагаются на антивирус и пренебрегают иными мерами защиты. Они реально полагают, что антивирус должен и может ловить 100% вирья на входе — именно это закладывается в модель защиты
                                                            • 0
                                                              Так выходит сами же и закладывают в модель защиты не верные представления об угрозах… На лицо та самая недооценка рисков…

                                                              Но переоценка с подачи новостей — тоже не есть гуд (читаем выше про неявное вымогательство).

                                                              Но вот вы опять грамотно ушли в сторону от главного вопроса (просто как бы не заметили его)… Где он тот вирус который я без сборки смогу запустить на любом (хотя бы из популярных) Linux-е?
                                                              • 0
                                                                Так я ответил — не раздаем
                                                                • 0
                                                                  Удобная позиция.
                                                                  Т.е. бойтесь все у нас есть, а то что больше ни у кого нет и они и найти даже не могут — это их проблемы :)
                                                                  • 0
                                                                    Были (не у нас) у одной компании обезвреженные (с вырезанным вредоносным функционалом) такие вирусы. И вот однажды такой фейко-вирь после запуска утек в партнерскую сеть. Ой что было
                                                                • 0
                                                                  Оценка рисков — искусство. И не переоценить и не недоценить. Мы даем вводные — количество угроз и текущую раскладку по типам. Но оценить важность информации и соответственно этому выбрать меры защиты — обязанность компании.
                                                                  • 0
                                                                    Количество не показатель, ну взбредёт мне кому-нибудь в голову устроить охоту на бубунту через очередной зеродэй, как минимум каждая посылочка будет уникальной, несколько попадут в ханейпоты вот и будет куча разных сигнатур, на одну и ту-же пакость, а если какой пионэр ради спортивного интереса запилит вирус, с вариабильным тулщейном упаковки, и хитроделанным компилятором упаковщика, и всё это будет плясать от айди родителя и рандома, что бы задавить вероятность подобий даже…

                                                                    Ну или трезвый сценарий (ибо палить такие темы за интерес никто не будет, оне денех стоют, хороших), чёрный рынок, есть конструкторы пакости, есть конструкторы упаковщиков и есть услуги по упаковке. Вот и получается иллюзия разнообразия, хотя всё одно и тоже и при желании со стороны антивирусов замечательно «эвристически» распознаётся :-) (например всякими комодами и битдефендорами, но это не про линуксы, ибо там векторы и смыслы атак совсем иные, и способы противостояния нужны соответствующие)
                                                                    • 0
                                                                      Все верно, только насчет «при желании со стороны антивирусов замечательно «эвристически» распознаётся» вы увы не правы. Сейчас есть и утилиты и даже сервисы, которые автоматически и полуавтоматически перешифруют вирусы. В результате имеем разную сигнатуру, хотя тело одно и тоже. Для исключения пропуска все такие модификации нужно добавлять в базы. Генерить такие варианты можно с жуткой скоростью. У Доктор Веба есть технология поиска в зашифрованных файлах неизвестного вредоносного ПО, но и она 100% не дает естественно. А поведенческих анализаторов пока в антивирусах для Linux нет
                                                              • 0
                                                                Вдогонку. Без пересборки будут работать в частности шифровальщики точно. Видел на чистом баше с вызовом предустановленных утилит. Естественно если утилиты есть. На питоне пишут.
                                                                Вообще сейчас рост количества скриптового вирья. Не только для Линукса
                                                                • 0
                                                                  Ну таки да под рутом баш-скрипт запустить он много чего с системой сотворить может.

                                                                  Но вот давайте я вам ip дам и вы на компе с этим ip запустите мне bash-скрипт под правами рута? Готовы такое продемонстрировать?
                                                                  • 0
                                                                    Сидят русский с чукчей к берегу ледовитого океана. Холодно, скучно. Русский чукче.
                                                                    А давай анекдоты рассказывать!
                                                                    Чукча — неа
                                                                    Почему?
                                                                    Сошлют.

                                                                    Я вот этот чукча. Нельзя представителям компании этого
                                                                    • 0
                                                                      Т.е. вы предлагает вам наслово поверить что вы можете это сделать…
                                                                      • 0
                                                                        Приходите к нам работать (в соответствующие отделы) и через некоторое время у вас пропадет всякое желание видеть эти вирусы
                                                                        • 0
                                                                          Я же не про вирусы, а про запуск bash-скрипта с правами рута на машине с указанным IP…

                                                                          Ну да не важно, я уже понял вашу позицию.
                                                                      • 0
                                                                        Не можете раздать — опишите модель атаки.

                                                                        Ну или хотя бы давайте в данетки поиграем. Мой первый вопрос: там руками что-нибудь скачанное запускать надо?
                                                                        • 0
                                                                          На память не скажу процентовку, но количество вредоносного ПО, которое рассчитано на запуск руками для Линукс существенно меньше, чем для Windows и Android.

                                                                          Прежде чем говорить о вирусах (как я обещал — примеры я подготовлю) — немного по общей ситуации с вирусами и антивирусами под Линукс
                                                                          1. Линукс — очень прозрачная система. Если так можно ее назвать. В отличии от Windows и Android в ней практически отсутствуют места, где тому же трояну можно спрятаться незаметно для пользователя. Не скажу, что их нет. Есть, но меньше. Отсюда идут и преимущества и проблемы защиты Линукс.
                                                                          С одной стороны — куда меньше проблем в поиске и удалении вредоносного ПО. Но с другой стороны — и антивирус под Линукс полностью беззащитен. Самозащита в нормальном качестве вряд-ли реализуема, а поэтому любой неизвестный троян может делать все что хочет — ограничиваясь лишь ограничениями прав (соответственно кстати выше требования к админам)
                                                                          Итог этой части — заражение Линукса в целом опаснее, чем Windows (хотя для Андроида все еще хуже)
                                                                          2. Антивирус — не SIEM и всякие UEBA. В нем отсутствует развитая аналитика логов. С другой стороны админы не уделяют достаточного внимания защите логов. И вот тут мы переходим к вашему вопросу о векторах атаки. Если вы читаете разборы вирья, то наверно обратили внимание, что зачастую описания процедуры внедрения нет. Это не сокрытие информации. Многие вредоносные программы попадают в антивирусные лаборатории от пользователей. А они в свою очередь присылают только часть вредоносного комплекса. Downloader, первым внедрившийся в систему, давно уже загрузил всю полезную нагрузку, потер логи и стерся с системы. В результате дыра в системе остается необнаруживаемой

                                                                          Ну и пара примеров из последних новостей для иллюстрации сказанного:
                                                                          — Linux.BackDoor.Hook.1, был обнаружен в библиотеке libz (https://news.drweb.ru/show/?i=11593)
                                                                          — Linux.IotReapper (модификация Linux.Mirai. Для взлома устройств Linux.IotReapper запускает эксплойты и проверяет результат их выполнения.
                                                                          — Linux.ProxyM, запускает на инфицированном Linux-устройстве SOCKS-прокси-сервер. Существуют сборки этого троянца для устройств с архитектурой x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 и SPARC, то есть он может работать на многих «умных» устройствах, таких как роутеры, телевизионные приставки и т. д. (https://news.drweb.ru/show/?i=11503)
                                                                          Linux.MulDrop.14 — атакует исключительно миникомпьютеры Raspberry Pi. Троянец представляет собой скрипт, в теле которого хранится сжатое и зашифрованное приложение-майнер, которое предназначено для добычи криптовалют. (http://news.drweb.ru/show/?i=11320)
                                                                          — Linux. Encoder.10 и Linux. Encoder.11. заражено 153 Linux-сервера и более 3400 бизнес-сайтов, которые размещает хостинг-провайдер (https://habrahabr.ru/company/cloud4y/blog/331266)
                                                                          • 0
                                                                            Линукс — очень прозрачная система.

                                                                            Я так и не понял, куда там ставятся программы.
                                                                            • 0
                                                                              Прям в /usr, изредка в /opt. Обычно пакетный менеджер позволяет посмотреть, куда именно и что именно поставил данный пакет.
                                                                              • 0
                                                                                А в /bin что лежит? Похоже на бинарники, имена многих знакомы. /lib тоже чем-то забита, а /sbin вообще не пойми к чему.
                                                                                Я в общем то знаю, что программы в Linux размазываются по всей ФС, и просто привёл это как пример непрозрачной части, в отличии от Windows, где большая часть программ стоит в Program Files, если при установке не указать иное (чего Linux не позволяет).
                                                                                • 0
                                                                                  и просто привёл это как пример непрозрачной части

                                                                                  А чего непрозрачного-то? Мне интересно, какому пакету принадлежит лежащий вот тут файл — я делаю equery b /path/to/file. Когда мне интересно, куда встал пакет, я деалю equery f package.

                                                                                  в отличии от Windows, где большая часть программ стоит в Program Files

                                                                                  А в system32 какой-нибудь оно ничего не ставит? А какие конфиги в реестре от этого появились?

                                                                                  чего Linux не позволяет

                                                                                  Не позволяет конкретный пакетный менеджер, не линукс. Распаковывать пакеты в кастомный префикс, в принципе, можно, и оно даже иногда будет работать.

                                                                                  Тут, кстати, давеча Origin на игровой машине падал, если ставить игру не из-под админа, и в эскалацию привелегий он почему-то не мог. Причём, где посмотреть логи или хотя бы strace какой-нибудь, непонятно.

                                                                                  Но это так, про прозрачность.
                                                                                  • 0
                                                                                    А чего непрозрачного-то?

                                                                                    А вот я не знал про команды консоли.
                                                                                    А в system32 какой-нибудь оно ничего не ставит?

                                                                                    Это системный, да и то сейчас он прячется в WinSxS, ну так то система.
                                                                                    Причём, где посмотреть логи или хотя бы strace какой-нибудь, непонятно.

                                                                                    Логи в «Управление» — «Просмотр событий» — «Приложение», если для XP, впрочем, уверен, в системах новее отличи немного.
                                                                                    • 0
                                                                                      А вот я не знал про команды консоли.

                                                                                      Инструментами надо уметь пользоваться, увы. Я вот про логи в винде не знал, например.

                                                                                      Это системный, да и то сейчас он прячется в WinSxS, ну так то система.

                                                                                      Что система? Устанавливаемый софт туда ничего не ставит? Даже какие-нибудь дрова от нвидии?
                                                                                      • 0
                                                                                        Устанавливаемый софт туда ничего не ставит?

                                                                                        Разве что совсем старый. Сейчас это моветон.
                                                                                        Даже какие-нибудь дрова от нвидии?

                                                                                        Этот может, но опять же это скорее системная фигня. Впрочем, большая часть той же нвидии лежит в Program Files.
                                                                            • 0
                                                                              Но с другой стороны — и антивирус под Линукс полностью беззащитен. Самозащита в нормальном качестве вряд-ли реализуема

                                                                              Я этого логического перехода сейчас не понял. Самозащита в нормальном качестве реализуется через security through obscurity?

                                                                              Linux.BackDoor.Hook.1, был обнаружен в библиотеке libz (https://news.drweb.ru/show/?i=11593)

                                                                              Возможно, очень глупый вопрос: а как он туда попал?

                                                                              Linux.ProxyM, запускает на инфицированном Linux-устройстве SOCKS-прокси-сервер

                                                                              Аналогично: а как он инфицирует Linux-устройство?

                                                                              У вас там ссылка на какой-то майнер, кстати.

                                                                              Троянец представляет собой скрипт, в теле которого хранится сжатое и зашифрованное приложение-майнер, которое предназначено для добычи криптовалют.

                                                                              А как этот скрипт запускается?

                                                                              Поэтому угрозы безопасности, такие как DIRTY COW, могут предоставить злоумышленникам root-доступ к уязвимым Linux-системам.

                                                                              Это ЕМНИП локальная уязвимость.

                                                                              Кроме того, на веб-сайте NAYANA используются устаревшие версии Apache 1.3.36 и PHP 5.1.4, обе из которых были выпущены еще в 2006 году.

                                                                              Обычно на десктопах такого софта нет.

                                                                              Короче, вы почему-то систематически не пишете, как именно вирусня попадает на целевую машину.
                                                                              • 0
                                                                                Самозащита (не контроль целостности) подразумевает невозможность блокирования антивируса, перехвата или обхода его контроля, изменения прав и тд. В Windows это драйвер, который контролирует чтобы никто не сел ниже антивируса и никто не лазил к критичные данные антивируса без прав.
                                                                                Защита драйвера от выгрузки и подмены как минимум обеспечивается тем, что винду надо перегрузить — уж это-то пользователь заметит
                                                                                В Линукс, если на компьютер попадет неизвестный антивирусу вредоносный файл и запустится с нужными правами, то любой модуль ядра можно вынести, как и любой запущенный процесс. Права рута в Линуксе абсолютны (есть конечно грязные хаки, но они системно зависимы, насколько я знаю)
                                                                                По поводу «как попадает» — увы, не всегда известно. Для этого надо ставить SIEM, обеспечивать защиту логов и их длительное хранение. К сожалению у нас в стране Линукс используется (не считая шлюзов) практически исключительно в малом и среднем бизнесе. У них и антивирус-то не всегда есть
                                                                                Троянец представляет собой скрипт, в теле которого хранится сжатое и зашифрованное приложение-майнер, которое предназначено для добычи криптовалют

                                                                                Распаковывается и извлекается, а далее много вариантов
                                                                                Это ЕМНИП локальная уязвимость./blockquote>
                                                                                Если посмотрите, то таковых много. Зачастую используется не один троян, а вредоносный комплекс. К нам попадает только часть комплекса. Качественные Downloader'ы у нас редкие гости
                                                                                Короче, вы почему-то систематически не пишете, как именно вирусня попадает на целевую машину

                                                                                И не только мы. И с удовольствием бы писали. Как раз в этих местах обычно данных, которые желательно скрывать нету
                                                                                • 0
                                                                                  Замечу, что Windows тоже поддерживает выгрузку драйверов, включая горячую даже для тех, которые не заявляют о своей выгружаемости.
                                                                                  • 0
                                                                                    Не слышал, что бы наши драйвера можно было так выгрузить. Можно ссылку на то, как это можно сделать?
                                                                                    • 0
                                                                                      наши драйвера

                                                                                      Наши это какие?
                                                                                      Вообще для начала можно попробовать стандартными средствами, sc stop <ServiceName>, само собой нужно быть админом или обладать привилегией на загрузку/выгрузку драйверов. Если не прокатит, то искать программы, которые делают это при помощи своего драйвера от имени системы. Конечно и этому можно сопротивляться, глубоко окопавшись в ядре ОС, но большая часть дров можно спокойно выгрузить, правда иногда после этого можно наблюдать синий экран.
                                                                                      • 0
                                                                                        Антивирусные. Я из Доктор Веб. В последней версии мы закопались в систему достаточно глубоко
                                                                                        • 0
                                                                                          Тут да, такие наивные способы не помогут, уверен, они перехватываются на подлёте, как и загрузка драйверов. Я не являюсь достаточно сильным специалистом по ядру Windows, чтобы сходу предложить способ пробить защиту вашего антивируса, а если бы и знал, то точно не писал бы об этом в комментарии на Хабре )
                                                                                          Вообще, ветка началась с вопроса по самозащите. Так вот, я не вижу различий в способах самозащиты от root в Linux и от System в Windows, так как обычный Администратор в винде всё-таки ограничен, и не равен руту в униксах. Обе эти учётные записи обладают максимумом прав и могут копаться в системной памяти, и для предотвращения этого нужно хучить функции ОС как на винде, так и на лине, и преимуществ у винды в плане реализации самозащиты нет.
                                                                                          • 0
                                                                                            Практика показывает, что в Windows все замороченнее
                                                                                            • 0
                                                                                              Ну да, культура антивирусов развивается вместе с культурой вирусов, а они под винду намного забористее.
                                                                                  • 0
                                                                                    В Линукс, если на компьютер попадет неизвестный антивирусу вредоносный файл и запустится с нужными правами, то любой модуль ядра можно вынести, как и любой запущенный процесс.

                                                                                    Это не совсем так. Я не помню точно условия, но знаю, что модуль можно написать так, что фиг его выгрузишь.
                                                                              • 0
                                                                                Продолжим.

                                                                                Как я уже говорил, огромное количество вредоносных программ неизвестно как очутились на зараженной машине. Типа так «Обнаружен пользователем на своём сервере после публикации предыдущего блогпоста». В итоге описание вредоносной программы не будет содержать модели проникновения.

                                                                                Тем не менее некую статистику привести можно.

                                                                                Пользователи под Линукс есть, а значит они будут скачивать и устанавливать с сайтов вредоносные файлы. На данный пример как горячие пирожки расходятся майнеры. Устанавливаемый пользователем майнер майнит, но отдает намайненное налево. Или Linux.Lady.1 — троянец, написанный на языке G. Тоже был нам прислан пользователем.

                                                                                Еще пример
                                                                                вредоносные программы были обнаружены на серверах, зараженных троянцем Trojan-Downloader.JS.Iframe.auy, который под видом кодека для просмотра видео перенаправляет посетителей на вредоносные сайты для загрузки эксплойтов и других вредоносных программ

                                                                                Линк.
                                                                                Забавно кстати, что «На распространяющем спам-сообщения сайте также находится страница с фальшивым антивирусом».

                                                                                Основной же метод проникновения конечно перебор паролей и эксплойты — здесь без разбора заражаются и сервера и рабочие станции.

                                                                                Немного примеров.

                                                                                Естественно первый был Червь Морриса. Общеизвестная вещь, поэтому про него рассказывать не буду.

                                                                                Пропустим кучу древних вирусов. Почитать про них можно тут.

                                                                                Ботнеты:
                                                                                Злоумышленникам удалось доказать возможность создания рабочих ботнет сетей на платформах отличных от Windows, захватив управление над примерно 100 тысячами ADSL мини-маршрутизаторов, c основанной на Linux прошивкой, и задействовав их в качестве единой ботнет сети. Захват управления стал возможен из-за халатности производителей оборудования, допустивших возможность входа с типовым паролем на открытый для внешней сети web-интерфейс или SSH/FTP/telnet порт.

                                                                                Линк
                                                                                Взлом ресурсов разработчиков

                                                                                Начиная с 12 августа на серверах kernel.org находился троян, который записывал пароли, действия пользователей, предоставлял root-доступ и модифицировал ПО на сервере.
                                                                                Были модифицированы файлы, относящиеся к ssh (openssh, openssh-server и openssh-clients), загрузчик трояна добавлен в rc3.d.

                                                                                Линк
                                                                                взлом инфраструктуры проекта PHP

                                                                                Линк

                                                                                Взлом системы разработки
                                                                                Продемонстрирована удачная попытка внедрения бэкдора в код интерпретатора PHP. Судя по тексту заявления, подстановка кода была произведена с целью демонстрации возможности проведения успешной атаки на web-инфраструктуру проекта PHP.

                                                                                Линк

                                                                                Эксплойт

                                                                                Троян распространяется в качестве файла с расширением .mp3, который, при проигрывании в некоторых версиях mpg123, запускает код, рекурсивно удаляющий все файлы из домашнего каталога текущего пользователя.

                                                                                Линк
                                                                                Согласно документам, опубликованным WikiLeaks, один из инструментов, используемых Центральным разведывательным управлением США (ЦРУ) для атак Linux-систем, называется OutlawCountry. OutlawCountry описывается его разработчиками как инструмент, который использует модуль ядра для создания скрытой таблицы netfilter на целевой системе Linux

                                                                                Линк
                                                                                «бэкдор Linux/Mumblehard для управления различными ОС Linux и BSD — с использованием скриптов на perl
                                                                                два основных вектора распространения этого вредоносного ПО. Одним из таких векторов было использование лоумышленниками эксплойтов для популярных систем управления содержимым сайтов Joomla и Wordpress. Другой вектор заключался в распространении злоумышленниками пиратских backdoored версий программы DirectMailer для Linux & BSD

                                                                                Линк

                                                                                Отдельно нужно отметить Linux/Moose
                                                                                Linux/Moose может заражать компьютеры внутри сети, при этом обходя защиту устаревших брандмауэров. Для этого используется два различных механизма: первый полагается на слабые настройки брандмауэра, а второй на NAT traversal.


                                                                                Итого: для заражения Linux-систем злоумышленники в основном полагаются на брутфорс и эксплойты — увы, но апдейты ставятся не всегда. Есть также вредоносные программы, которые ставятся с сайтов — но их куда меньше, чем для Windows. Иные модели атак (взлом инфраструктуры разработки, репозиториев, подмена трафика) используются крайне редко
                                                                                • 0
                                                                                  В итоге описание вредоносной программы не будет содержать модели проникновения.

                                                                                  Очень жаль, потому что разговор-то именно об этом.

                                                                                  Пользователи под Линукс есть, а значит они будут скачивать и устанавливать с сайтов вредоносные файлы.

                                                                                  А решение очень простое: не надо скачивать и устанавливать с сайтов вредоносные файлы. Серьёзно, зачем, если софт ставится из репов, а случаи необходимости установки не из репов исчезающе редки?

                                                                                  При запуске троянец проверяет наличие ключей, при отсутствии которых завершает работу:

                                                                                  Version — вывести на экран версию троянца и завершить работу;
                                                                                  Install — установить троянца в системе;

                                                                                  Хаха.

                                                                                  который под видом кодека для просмотра видео перенаправляет посетителей на вредоносные сайты для загрузки эксплойтов и других вредоносных программ

                                                                                  Самый главный вопрос — а их потом ручками запускать надо, или они как-то сами запускаются?

                                                                                  Захват управления стал возможен из-за халатности производителей оборудования, допустивших возможность входа с типовым паролем на открытый для внешней сети web-интерфейс или SSH/FTP/telnet порт.

                                                                                  Это точно применимо к десктопам так, что единственным решением будет антивирус?

                                                                                  Начиная с 12 августа на серверах kernel.org находился троян

                                                                                  Как он туда попал?

                                                                                  взлом инфраструктуры проекта PHP

                                                                                  Продемонстрирована удачная попытка внедрения бэкдора в код интерпретатора PHP.

                                                                                  Это всё тоже относится к десктопам?

                                                                                  Троян распространяется в качестве файла с расширением .mp3, который, при проигрывании в некоторых версиях mpg123, запускает код

                                                                                  О, вот это уже хоть что-то. По ссылке, правда, никаких упоминаний mpg123 через Ctrl+F не нашлось, ну да ладно. А было бы интересно узнать, что за версии mpg123, например, и сравнить с доступными на тот момент в репозиториях.

                                                                                  OutlawCountry описывается его разработчиками как инструмент, который использует модуль ядра для создания скрытой таблицы netfilter на целевой системе Linux.

                                                                                  Я цитатой со статьи по ссылке отвечу: «В документации OutlawCountry, датированной июнем 2015 года, объясняется, что для использования инструмента необходимо иметь доступ к оболочке и привилегии пользователя на целевой машине.».

                                                                                  Сайт ужасный, кстати, хучит копирование в буфер обмена и приписывает к скопированному ссылку на себя. Хуже трояна!

                                                                                  Одним из таких векторов было использование лоумышленниками эксплойтов для популярных систем управления содержимым сайтов Joomla и Wordpress. Другой вектор заключался в распространении злоумышленниками пиратских backdoored версий программы DirectMailer для Linux & BSD

                                                                                  Это тоже имеет отношение к десктопам? Особенно Joomla и WP.

                                                                                  Итого: для заражения Linux-систем злоумышленники в основном полагаются на брутфорс и эксплойты — увы, но апдейты ставятся не всегда.

                                                                                  Не того, правда, что стоит на среднем десктопе, в основном. А серверные проблемы — отдельная история.
                                                                                  • +1
                                                                                    А решение очень простое: не надо скачивать и устанавливать с сайтов вредоносные файлы.

                                                                                    Уж сколько раз твердили миру. Кто бы спорил
                                                                                    ручками запускать надо

                                                                                    Если система настроена — еще и подтвердить запуск
                                                                                    единственным решением будет антивирус

                                                                                    Как бы распространенный миф, против которого все борются. Естественно нет. Я видел организации, у которых нет антивируса на десктопах и нет инцидентов ИБ и видел компании, закупившие гору софта и легшие при ваннакрае. Антивирус далеко не единственная защита от вредоносных программ. И уж точно не панацея. Но это сильно отдельная тема
                                                                                    • 0
                                                                                      Уж сколько раз твердили миру. Кто бы спорил

                                                                                      Есть два разных тезиса: «ЦА антивирусов под линукс — непустое множество» и «на среднем десктопе антивирус вполне может быть не нужен при соблюдении минимальной гигиены». Уже потом можно и про эту самую гигиену говорить, про то, сколько её нужно на винде и на линуксе, и так далее.

                                                                                      Так-то у меня игровая машина под виндой есть, но я там ничего кроме стима, ориджина, тимспика, trackir и софта для настройки джойстика не запускаю, с торрентов игры не качаю, кряками не крякаю, даже читы не запускаю. Ну и в банк, гмыло и гитхаб с неё не логинюсь. И она в изолированном от остальных машин сегменте сети (на случай кроссплатформенной вирусни).

                                                                                      Как бы распространенный миф, против которого все борются.

                                                                                      Так я ровно про это и говорю! О чём же мы тогда спорим? :)
                                                                                      • 0
                                                                                        А мы вроде и не спорим.

                                                                                        Есть только несколько тонких моментов, которые обычно упускается.
                                                                                        — квалификация защищаемого пользователя. Если мы говорим об обычном пользователя, то он сам не может настроить всякие ограничения, так как не является айтишником. В этом случае если нет знакомых айтишников, то деваться некуда и нужно использовать антивирус. Если человек специалист, не лазит по опасным ресурсам и тд, то он может использовать на свой риск иные средства защиты
                                                                                        — финансы и мощности. Антивирус не может поймать все до одного вирусы. Это как бы понятно. Поэтому использование одного антивируса снижает риск, но его не устраняет. Нельзя поставив антивирус безбоязненно кликать по ссылкам. Нужно использовать меры защиты от запуска неизвестных вирусов. И вот тут проблема, так как очень и очень многие компании малого и среднего бизнеса и неготовы запретить свой бардак и не могут это сделать (скажем по финансовым причинам)
                                                                                        Финансы и квалификация. А все остальное — лишь выбранные инструменты и точная оценка рисков
                                                                            • +2
                                                                              Задача шифровальщика не грохнуть ваш Windows/Linux/MenuetOS/FreeDOS/WhatElseOS, а зашифровать ваши документы, котиков и т.п… Документы и котики обычно создаются не от root:root, а от cooluser:users, и чтобы это дело пошифровать рута получать не надо. ОС можно и переустановить и настроить, потратив на это день (пользователи gentoo в пролёте увы), а восстановить свежие коммиты, которые ещё небыли запушены и прочие полезные файлы (созданные опять от имени пользователя) — это задача гораздо сложнее. Шифровальшику надо либо с вас поиметь баблонов, либо просто насрать вам, удалив полезные файлы (а не операционную систему).
                                                                              П.С. Если вы довели параною до максимума и на рабочей машине завели PaX+rsbac+selinux+турбозеркалирование, то да, наверняка для вас шифровальщики и прочие поделия ничего не значат.
                                                                              • 0
                                                                                Все верно, можно и без рута… упрощаем:

                                                                                Я IP даю, а вы запускаете на указанном IP bash-скрипт под текущим пользователем.

                                                                                Или другой вариант: я готов по указанному вами URL перейти из браузера с той машины на которой вы запустите bash-скрипт под текущим пользователем.

                                                                                Никаких извратов параноика — стандартная ОС «искаропки» с последними обновлениями. Готовы?

                                                                                ЗЫ если надо могу подписать документ об отказе в претензиях и прочая прочая, чтобы не подставлять взломщика.
                                                                                • +1
                                                                                  Я такое предлагал, только у меня ХР, и то никто не нашёлся. Соглашался даже файлик попытаться запустить, двойным щелчком.
                                                                                  • 0
                                                                                    XP тут офтоп, тут же некоторые упорно доказывают, что Linux так же дыряв и небезопасен как винда, ну или только чуть чуть лучше…
                                                                                    • +1
                                                                                      Я к тому, что в кривых руках всё дырявое, в прямых всё безопасное. Никто так просто не взломает ваш Linux, ровно так же, как никто не взломает мою XP, в разумных пределах.
                                                                                      А вот утверждения о дырявости и небезопасности винды безосновательны, ровно так же, как и утверждения о сверхзащищённости Linux.
                                                                                  • 0
                                                                                    Ну запустите своими руками rm -rf ./ в вашем домашнем каталоге из под вашего пользователя.
                                                                                    • 0
                                                                                      Я безусловно могу это сделать. Не вопрос.
                                                                                      Вопрос в том, что раз linux так дыряв, то тоже самое вы сможете запустить на любом linux компьютере (ip или из браузера).
                                                                                      Да собственно не важно что запускать. Главное запустить. Готовы ВЫ на моём компе удаленно организовать запуск скрипта?
                                                                                      • 0
                                                                                        Я себе на хлеб зарабатываю не поиском уязвимостей. Для вашего случая — поищите по свежим CVE у популярных решений вида FireFox+Adobe Flash (и прочих) возможности RCE, потом посмотрите на даты CVE и даты, когда вы установили обновления закрывающие эти уязвимости. Если вы прошляпили обновление на несколько дней — возможность сделать вам rm -rf ./ была.
                                                                                        • 0
                                                                                          У меня обновления безопасности ставятся автоматом. По некоторым реально серьёзным CVE с опубликованными эксплоитами/чекерами пробовал проверять. Как правило, на момент под'ема хайпа у меня уже стояли фиксирующие обновления или они сваливались буквально в течении дня.

                                                                                          Ну и таки да. Для эксперимента мне ещё придётся вывесить подопытную машину на белый IP. А то так у меня все за роутерами, причём чаще всего не за одним…
                                                                                          • 0
                                                                                            Так-то оно так, но фигня вся в том, что вопреки расхожему мнению жизненный цикл уязвимости хайпом таки заканчивается, более того хайпы обычно предшествует публикациям…
                                                                                            … хорошая уязвимость товар штучный, никто в здравом уме, не пустит её на криптолокер, ведь денежку придётся ещё собирать и как-то обналичивать

                                                                                            Самая правильная стратегия защиты, ограничивать и мониторить трафик, «профайлить процессы»…
                                                                                          • 0
                                                                                            У меня нет флеша. Ваши дальнейшие действия?
                                                                                            • 0
                                                                                              См. список CVE, см. список стоящих у вас пакетов, см. даты обновления, см. даты обнаружения CVE. Объедините данные по этим четырем запросам, посмотрите был-ли вариант что-то вам залить через эти CVE и если был — сделайте себе rm -rf ./
                                                                              • 0
                                                                                фейко-новости

                                                                                Из чего следует что это именно фейк? Типа «я лично не ловил — значит, сами сочинили»? Так уверяю, вы много чего в жизни не встречали лично…
                                                                                • 0
                                                                                  Из того что даже по свежей новости не найти ничего что взял, запустил, и оно сработало.

                                                                                  Не, когда новости про уязвимости, то да иногда успеваешь поместить эксплоит пока не обновления не упали.

                                                                                  Но страшные вирусы про которые даже намека нет про способ распространения/проникновения — это может быть конечно и не фейки… Только опять же — а как проверить?
                                                                                  • 0
                                                                                    Фейковые новости тоже есть, нужно проверять первоисточник и желательно читать не в переводе. Но хуже то, что очень много новостей, которые не фейк, но вводят в заблуждение. Скажем компания занимающаяся сетевым оборудованием пишет статистику вирья. Я лезу в статистику заражений — и ноль соответствия. Причина — статистика того, что проходит через сетевое оборудование, а не что реально запускается на десктопе. Или новость — 100% компаний используют… Вранье? ни в коем — не указано каких компаний.
                                                                                    То есть читая любую новость со статистикой им прогнозами нужно проводить через фильтр, какие компании вендор обслуживает, есть ли у нее собственная лаборатория и тд и тп.
                                                                                    Если касаться вирусов, то обычно в СМИ шквал упоминаний (а не только разбор трояна на профильном разделе) — если заражаются какие заметные компании или украдена туча денег. Отличный пример — ваннакрай и лже петя — весьма не совершенные трояны, но атаковали крупный бизнес и потому им внимание. Одновременно распространялись в разы больше заразившие трояны — про них новостей 0. В итоге туча запросов как защититься от Ваннакрая и ноль про более опасные вещи. Получается перекос знаний о рисках
                                                                                • 0
                                                                                  С дырами на роутерах — надо ещё производителям задать вопрос «какого [censored] вы бэкдоры встраиваете», а то встречается всякое вида «1) Open mykyylrauter.local:8899/?rapemyass=yes 2) telnet to port 666»
                                                                                  • 0
                                                                                    При попытке захода на сайт пытался загрузиться вирус.

                                                                                    Какой вирус и как? .sh? Бинарник какой? Zero-day для хрома?

                                                                                    Иными словами, очень интересно, что именно надо делать на десктопе, чтобы подцепить вирус.
                                                                                    • 0
                                                                                      Ну выше уже поминалась флэшь, но это лишь частный случай…
                                                                                      … а в общем один из популярных заходов в том, что бы спровоцировать не штатное падение приложения, предварительно насрав в память таким образом, что бы нечто из насраного получило управление с привилегиями приложения и далее по списку может быть загрузка тестера который проведёт предварительную разведку и по её итогам загрузит и передаст управление инструменту для повышения привилегий…
                                                                                      В реале всё несколько сложнее, иногда процесс сопровождается «внезапной» перезагрузкой, so внезапные падения процессов и тем паче крэши, админу всегда каг-бэ намекають ;-)
                                                                                      • 0
                                                                                        Это было так давно, что и не помню. Браузер был Файрфокс. Антивирус ругнулся, я этот факт отметил, отправил письмо админу сайта и все.

                                                                                        Для заражения ничего можно не делать. В смысле не ставить обновления, не настраивать системы безопасности и тд.

                                                                                        Примеры нечисти я вам подберу, если интересно, но это денек займет
                                                                            • 0
                                                                              Вирусы как таковые в среде Linux имеют распространение в форме слухов

                                                                              Недавно чистил старенький shared hosting, майнеров штук 5, парочка троянов и несколько неизвестных программулин, работающих от root.
                                                                            • 0
                                                                              del
                                                                              • –3
                                                                                Десять лучших антивирусов для Linux

                                                                                • +11
                                                                                  > Особенности Sophos
                                                                                  > Обнаружение и удаление вредоносного ПО.

                                                                                  В списке есть те, кто это не умеет?

                                                                                  > Особенности Comodo
                                                                                  > Отсутствие ложных срабатываний

                                                                                  Самоуверенные ребята…

                                                                                  > Особенности ClamAV
                                                                                  > Совместим с POSIX.

                                                                                  В списке есть несовместимые?

                                                                                  > Из названия этого антивируса, Chkrootkit, можно предположить, что он работает с правами root-пользователя. И на самом деле — так оно и есть. Это, честно говоря, наиболее удачное решение для поиска руткитов на Linux.

                                                                                  Что это за треш? X_X
                                                                                  • +1
                                                                                    Работает из терминала.
                                                                                    Поддерживает почтовые службы.
                                                                                    Совместим с POSIX.
                                                                                    Не требует установки.


                                                                                    Это какая-то бездумная копипаста, в которой вы сделали перевод через гуглтранслейт, причем видимо транзитом через пару мертвых языков, или автор действительно видит смысл в этом?
                                                                                    • +1
                                                                                      У меня давно такой вопрос без ответа:

                                                                                      Многие веб разрабочики используют npm, bower и т.п. которые вытягивают неимоверное кол-во js (сейчас взвесил один рабочий проект: node_modules + bower_components ~ 280Mb), и запускают сборку локально (я стараюсь запускать подобное в docker). Что если автор какой нибудь более менее популярной либы встроит (на время) троян, который при запуске пропишет себя (либо подгрузит другой троян) в ~/.bashrc, ~/.profile (+ ещё пачка способов) которые как правило доступны на изменение, будет запускаться каждый раз при старте и может устроить апокалипсис (в пределах пользователя), покрошить документы, исходники, отправить кеши браузеров и др. программ и т.п.

                                                                                      Кто-то как-то предостеригается от подобного, каким образом?
                                                                                      • +1
                                                                                        Забить на хайп и писать свои продукты на своём технологическом стеке? Ой, это сейчас называется велосипедостроением и не в моде, нынче без пары сотен зависимостей никуда.
                                                                                        • 0
                                                                                          В идеале ставить всё подозрительное в виртуалке/контейнере.
                                                                                        • +1
                                                                                          А в моей компании стоит SEP12, в т.ч. на никсах. Здесь в перечне он не упоминается, поэтому дабы решить все споры — голосую за практическое тестирование))
                                                                                          • 0
                                                                                            • 0
                                                                                              Забыли про Касперского. Юзали его на серваке в одном крупном банке, в один прекрасный момент он нашел сигнатуру вируса под DOS в файле базы постгреса и отправил файл в карантин. СУБД радостно упала, транзакции ходить перестали, мы получили люлей. Проблема решилась запретом кашперскому смотреть в директорию с базой и накатыванием бэкапа, но осадочек остался.
                                                                                              • 0
                                                                                                В результате прочтения статьи можно прийти к выводу, что нет ни одного опенсорсного антивируса кроме топорного Clamav, у которого уже лет 20 нет проверки в режиме реального времени. Убогий прожорливый интерфейс на TK с нулём функций как не был никому не нужен раньше, так и остаётся таковым по сей день.

                                                                                                Clamav с начала времён страдал низкой угадываемостью вирусов. Не верите? Вложите eicar в zip и этот zip в другой zip. Всё! Клам даже не попробует проверить глубже одного вложения.

                                                                                                Вся остальная проприетарщина — софт для шпионажа. Не верите? А кто докажет что это не так без сорцов?

                                                                                                Итоги. Антивируса под Linux не было и нет. Контейнеризация или SELinux и… фух, оказывается антивирус и не нужен!
                                                                                                • 0
                                                                                                  Антивирус не нужен, нужны мозги и прямые руки, совсем идеально было бы иметь более совершенную систему прав доступа.

                                                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                  Самое читаемое