Comment détecter et supprimer un cheval de Troie Linux?

J'ai récemment (re) trébuché sur ce point: un cheval de Troie Linux passe inaperçu pendant près d'un an (Unreal IRCd)

Oui, je sais que l'ajout de PPA / logiciels aléatoires à partir d'une source non fiable pose des problèmes (ou pire). Je ne fais jamais ça, mais beaucoup le font (de nombreux blogs et tabloïds Linux promeuvent l'ajout de PPA pour des applications sophistiquées, sans avertir que cela peut casser votre système ou pire encore, compromettre votre sécurité.)

Comment détecter et supprimer un cheval de Troie ou une application / un script escroc?

C'est toujours un jeu de chat et de souris avec un logiciel de détection. Un nouveau malware est créé, les scanners sont mis à jour pour le détecter. Il y a toujours un décalage entre les deux. Il existe des programmes qui utilisent des heuristiques qui surveillent ce que font les logiciels et tentent d'attraper les activités indésirables, mais à mon avis, ce n'est pas une solution parfaite et utilise des ressources.

Mon conseil est simple, n'installez pas de logiciels à partir de sources auxquelles vous ne faites pas confiance, mais si vous êtes comme moi et que vous ne pouvez pas éviter la tentation, placez-les dans une machine virtuelle (ie virtualbox) et jouez avec jusqu'à ce que vous soyez confiant il ne gênera pas votre système ni ne fera les choses que vous ne vouliez pas.

Encore une fois, ce n'est pas une solution parfaite mais pour l'instant, une machine virtuelle a les meilleures chances d'isoler votre machine des indésirables.

La plupart des logiciels anti-malware pour Linux / Unix recherchent simplement les logiciels malveillants Windows. Les occurrences de logiciels malveillants Linux ont généralement été très limitées, même dans les cas où les mises à jour de sécurité sont lentes ou ne viennent pas.

Fondamentalement, vous n'utilisez que des logiciels auxquels vous faites confiance et que vous mettez à jour quotidiennement, c'est ainsi que vous restez en sécurité.

Une autre réponse a déclaré: "C'est toujours un jeu de chat et de souris avec un logiciel de détection."
Je ne suis pas d'accord.

Cela est vrai des approches qui s'appuient sur des signatures ou des heuristiques pour détecter les logiciels malveillants.
Mais il existe un autre moyen de détecter les logiciels malveillants: vérifier les produits connus :

• Tripwire , AIDE , etc. peuvent vérifier les fichiers sur le disque.
  

• Second Look peut vérifier le noyau et les processus en cours d'exécution.
  Second Look utilise la criminalistique de la mémoire pour inspecter directement le système d'exploitation, les services actifs et les applications.
  Il compare le code en mémoire à ce qui a été publié par le fournisseur de distribution Linux. De cette façon, il peut identifier immédiatement les modifications malveillantes apportées par les rootkits et les backdoors, ainsi que les programmes non autorisés (chevaux de Troie, etc.).

(Divulgation: je suis le développeur principal de Second Look.)

Kaspersky et avg proposent des solutions, et McAfee en a une pour Red Hat qui pourrait être disponible sur Ubuntu. avg est ici: http://free.avg.com/us-en/download

Vous pourriez trouver cet article intéressant: http://math-www.uni-paderborn.de/~axel/bliss/

J'ai la mentalité que si vous avez exécuté quelque chose en tant que root qui vous inquiète plus tard, vous devriez probablement réinstaller. tous les fichiers que vous transférez devraient également avoir le bit exécutable supprimé 'chmod ugo -x'

Vous pouvez également essayer ClamAV depuis le centre de logiciels