Việc thực hiện phương án quét Virus và Rootkit trên hệ điều hành Linux sẽ giúp bạn bảo vệ an toàn cho dữ liệu của mình hơn, thay vì khi phát hiện ra hoặc cho rằng Linux khó bị nhiễm mã độc, virus giống trên Windows, thì chúng ta hãy phòng tránh trước cũng là điều nên làm.
Sau những lỗ hổng giúp cho virus, rootkit nghiêm trong xâm nhập trên Linux như lỗ hổng SambaCry trên Linux, người dùng hệ điều hành này cần thực hiện những biện pháp bảo mật tối ưu hơn. Có nhiều công cụ mã nguồn mở mà bạn có thể sử dụng để quét và kiểm tra xem hệ thống Linux của bạn có đang bị phần mềm độc hại tấn công hay không. Tuy nhiên bạn cần lưu ý là không có công cụ, phần mềm nào là hoàn hảo cả. Dưới đây là 3 công cụ để quét Virus và Rootkit trên Linux hiệu quả nhất.
Cách quét Virus và Rootkit trên Linux
1. ClamAV
ClamAV là phần mềm diệt virus "chuẩn", và có lẽ đã quá quen thuộc với bạn, ngoài ra, phần mềm diệt virus ClamAV cũng có phiên bản dành cho Windows.
Cài đặt ClamAV và ClamTK
ClamAV và giao diện đồ họa là các gói riêng biệt. Điều này là bởi vì ClamAV có thể được chạy từ dòng lệnh mà không cần GUI (giao diện đồ họa người dùng). Giao diện đồ họa ClamTK đơn giản hơn, phù hợp với nhiều đối tượng người dùng hơn. Dưới đây là cách cài đặt ClamAV và ClamTK.
Đối với distro Debian và Ubuntu:
sudo apt install clamav clamtk
Nếu không sử dụng distro của Ubuntu, bbạn có thể tìm clamav và clamtk trong trình quản lý gói.
Sau khi cài đặt xong 2 chương trình, bước tiếp theo bạn cần làm là cập nhật cơ sở dữ liệu virus của 2 chương trình. Không giống như các chương trình diệt virus khác, với ClamAV bạn sẽ phải thực hiện bằng lệnh root hoặc sudo:
sudo freshclam
Freshclam được chạy như một daemon. Để chạy freshclam bằng tay, bạn chặn daemon này lại bằng Systemd và sau đó chạy freshclam bình thường.
sudo systemctl stop clamav-freshclam
Quá trình trên sẽ mất một khoảng thời gian.
Quét Virus và Rootkit trên Linux
Trước khi quét virus và rootkit trên Linux, bạn click chọn nút Settings, đánh tích chọn các tùy chọn Scan files beginning with a dot, Scan files larger than 20 MB, và Scan directories recursively.
Quay trở lại màn hình chính, click chọn Scan A Directory. Chọn thư mục mà bạn muốn quét. Nếu muốn quét toàn bộ máy tính, chọn Filesystem. Bạn sẽ phải chạy lại ClamTK từ dòng lệnh bằng lệnh sudo để chương trình hoạt động.
Sau khi quá trình quét kết thúc, ClamTK sẽ cảnh báo cho bạn bất kỳ mối đe dọa nào được phát hiện và cho phép bạn xử lý các mối đe dọa này. Mặc dù giải pháp tốt nhất là xóa các mối đe dọa này đi, nhưng có thể sẽ gây lỗi hệ thống không ổn định.
2. Chkrootkit
Giải pháp tiếp theo để quét Virus và Rootkit trên Linux là cài đặt và sử dụng Chkrootkit. Chkrootkit sẽ quét các loại phần mềm độc hại cụ thể - rootkit cho hệ thống Unix giống như Linux và Mac. Đúng như tên gọi của nó, mục đích của rootkit là để đạt được quyền root trên hệ thống mà nó nhắm mục tiêu.
Chkrootkit quét các file hệ thống để tìm dấu vết của phần mềm độc hại và kiểm tra chúng dựa trên cơ sở dữ liệu của các rootkit đã biết.
Chkrootkit được tích hợp sẵn trong hầu hết các kho phân phối. Cài đặt Chkrootkit bằng trình quản lý gói:
sudo apt installchkrootkit
Kiểm tra Rootkits
Chỉ cần chạy lệnh với root hoặc sudo:
sudo chkrootkit
Lệnh sẽ chạy xuống danh sách các rootkit tiềm năng, và có thể tạm dừng một chút trong quá trình quét các file. Bạn sẽ nhìn thấy ghi chú “nothing found” hoặc “not infected” nằm kế bên mỗi file.
Chương trình không hiển thị báo cáo cuối cùng sau khi quá trình quét kết thúc, vì vậy bạn sẽ phải kiểm tra bằng tay để chắc chắn không có rootkit tiềm năng nào.
Ngoài ra bạn có thể đưa chương trình vào grep và tìm INFECTED, nhưng cách này không thể phát hiện mọi thứ.
Lỗi sai xác thực (false positive)
Chkrootkit được báo cáo là có một lỗi sai xác thực trên Linux / Ebury - Operation Windigo. Lỗi này đã được biết đến từ lâu và được thêm flag -G vào SSH.
Có một vài cách kiểm tra thủ công mà bạn có thể áp dụng để xác minh đó là lỗi sai xác thực.
Đầu tiên chạy lênh dưới đây làm lệnh root.
find /lib* -type f -name libns2.so
Lệnh trên không trả lại kết quả. Tiếp theo thử kiểm tra xem phần mềm độc hại có đang không sử dụng socket Unix hay không.
netstat -nap | grep "@/proc/udevd"
Nếu lệnh không trả về kết quả, tức là hệ thống của bạn an toàn.
Ngoài ra còn có lỗi sai xác thực mới với tcpd trên Ubuntu. Nếu lệnh trả về kết quả tích cực trên hệ thống của bạn, thử điều tra thêm, tuy nhiên cần lưu ý rằng kết quả có thể là không chính xác.
Bạn cũng có thể gặp các mục cho wted. Điều này có thể là do lỗi hệ thống bị treo hoặc lỗi đăng nhập. Sử dụng last để kiểm tra xem có phải là do lỗi hệ thống hay không. Trong trường hợp này, nguyên nhân cũng có thể là do những lỗi đó chứ không phải là do phần mềm độc hại.
3. Rkhunter
Rkhunter cũng là công cụ để quét và tìm kiếm rootkit trên Linux. Giải pháp lý tưởng là chạy cả Chkrootkit và Rkhunter trên hệ thống của bạn để đảm bảo không bị bỏ sót bất kỳ virus hay rootkit trong trường hợp xảy ra lỗi sai xác thực.
Rkhunter cũng nằm trong kho phân phối của bạn.
sudo apt install rkhunter
Quét Virus và Rootkit trên Linux
Bước đầu tiên là cập nhật cơ sở dữ liệu của rkhunter.
sudo rkhunter --update
Tiếp theo là thực hiện quét Virus và Rootkit trên Linux
sudo rkhunter --check
Chương trình sẽ dừng lại sau mỗi phần. Có thể bạn sẽ nhìn thấy một số cảnh báo trên màn hình, có thể là do phát sinh cấu hình phụ tối ưu. Sau khi quá trình quét kết thúc, chương trình sẽ hiển thị cho bạn bản ghi hoạt động đầy đủ của nó trong /var/log/rkhunter.log. Bạn có thể nhìn thấy nguyên nhân của các cảnh báo ở đó.
Ngoài ra rkhunter cũng cung cấp cho bạn một bản tóm tắt đầy đủ các kết quả quét.
Trên đây là 3 cách quét virus và rootkit trên Linux, bên cạnh đó, để tránh lây lan virus, rootkit hay những mã độc nghiêm trọng bạn cũng cần bảo vệ cổng USB trên Linux và trước khi đưa ra quyết định làm bất cứ điều gì, thử kiểm tra và xác minh lại kết quả mà bạn nhận được.
Nếu phát hiện có gì đó sai sót, cân nhắc các lựa chọn của bạn. Nếu phát hiện rootkit, tiến hành sao lưu các file dữ liệu của bạn và định dạng ổ đĩa đó để loại bỏ rootkit. Thường xuyên chạy các chương trình, phần mềm diệt virus để quét và loại bỏ virus, rootkit trên hệ thống của bạn.
https://thuthuat.taimienphi.vn/cach-quet-viruses-va-rootkits-tren-linux-29122n.aspx
Không những trên Windows, Linux mà trên Mac hay iOS cũng đều có những phần mềm, ứng dụng hỗ trợ diệt virus bảo vệ thiết bị 24/24, bạn có thể lựa chọn những ứng dụng diệt virus cho iPhone tốt nhất mà Taimienphi đã chia sẻ trước đây, trong số những ứng dụng diệt virus cho iPhone này, chắc các bạn cũng đã từng nghe thấy rồi.