Bazaprogram.ru

Новости из мира ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Linux защита от вирусов

Как защитить Ubuntu от вируса-шифровальщика

Уже с 2015 года существует специально сделанный троян-шифровальщик для линукс (Linux.Encoder.1 ). Конечно он опасен, если будет запущен с правами рута (админа), но сам он не запустится, однако последствия плачевные, всё нужное будет зашифровано.

Но есть ещё опасность, о которой можно забыть. Это эмулятор Wine для запуска Windows-программ в среде Linux. И здесь коварство кроется в том, что порой забываешь о том, что Wine по-умолчанию имеет прямой доступ к домашним папкам, а следовательно ко всему нужному. Wine отличная штука, умеет многое, но все его эти достоинства — становятся его же и недостатками.

Меня посещал вирус-шифровальщик через почтовое сообщение и скрипт запустился автоматически при открытии вложения, ведь у меня был Wine, который позволяет запускать windows-программы. И единственным способом было вернуть всё зашифрованное, это восстановить из архивов.

См. рисунок ниже, вот так вирус отложил свои «личинки» на виртуальном диске C: который эмитируется Wine, в этой папке типа живёт Windows.

В текстовом файле README-ISHTAR.txt вымогатель просит связи с ним.

Вот так вот.
Думаю, что подогревать рынок вымогательства не стоит. Делайте архивы своих данных. Тем более — не факт, что будет результат.

Что сделать с Wine для защиты от вирусов

Открыть настройки Wine и изменить доступ к домашним папкам.

Исправить пути к домашним папкам на другой какой-то путь:

Обратите внимание, что Wine по-умолчанию получает доступ через монтируемый диск Z: вообще к корню диска, не только к домашней папке (см. рисунок как по-умолчанию плохо всё):

Обязательно надо выкинуть все лишние пути и оставить один где и живёт Wine, см. рисунок ниже как лучше:

Но всё это не спасёт на 100%, потому как Wine имеет доступ к конфигурационным файлам в домашней папке, а именно к тому, что прячется в скрытых папках с точкой. В принципе стоит ожидать такие вирусы, которые этим воспользуются ))

Защита Linux от вирусов

И главный совет как защитить свои данные от коварства Wine или просто от вирусов, возьмите да удалите Wine, вот так:

Если вы ещё и устанавливали родные для Wine репозитарии, то сносите их смело:

Как выглядит вирус до заражения

Почему их называют Троян, а потому, что это работает по аналогии троянского коня. Если не будете трогать, то ничего и не будет.

Вот так выглядит письмо с трояном (возможно там и шифровальщик), но способ его доставки — «троянским конём», см. рисунок:

Здесь даже ссылка, будто бы открытая, а ведёт не туда, и это видно если поднести к ссылке не нажимая на неё курсор мыши и сразу видно реальный адрес ссылки в нижней строке браузера, см. рисунок:

Про такие письма я знаю лет двадцать, но оказалось, что многие этого не замечают, вот и решил поделиться.

Может я, что забыл упомянуть, сообщите в комментах ниже.

Действительно ли Linux невосприимчив к вирусам?

Одна из причин, по которой люди переходят на Linux — это повышение безопасности. Как вы думаете, после перехода на Linux вам больше не придется беспокоиться о вирусах и других типах вредоносных программ? И хотя на практике это в значительной степени верно, настольный Linux на самом деле не так уж и безопасен.

Если вирус захочет открыть магазин на вашем бесплатном рабочем столе с открытым исходным кодом, есть большая вероятность, что он сможет.

Почему вредоносные программы менее распространены на Linux

Вредоносное ПО — это нежелательный код, который каким-то образом попал на ваш компьютер для выполнения функций, разработанных со злым умыслом. Иногда эти программы замедляют работу компьютера или вызывают его полный сбой. Создатели могут затем потребовать выкуп, чтобы починить машину.

Иногда вредоносные программы загружают информацию на удаленные серверы, предоставляя кому-то доступ к вашим сохраненным данным или вводимым учетным данным, таким как пароли и номера кредитных карт.

Люди склонны создавать вредоносные программы для Windows, потому что это операционная система, встречающаяся на большинстве ПК. Это увеличивает вероятность распространения вируса с одного компьютера на другой.

Создатели вирусов, как правило, ориентированы на менее технически подкованных пользователях, которых легче обмануть поддельными веб-баннерами и фишингом. Вирусы также распространяются среди людей использующих пиратский контент, ведь эти файлы так же могут быть заражены.

Читать еще:  Formatdatetime delphi пример

Существуют антивирусные программы для Linux, но даже их целью часто является защита пользователей Windows.

Вредоносные программы для Linux существуют, но их не много

Недавно было выпущено одно вредоносное ПО для таргетинга на рабочий стол Linux. EvilGNOME работает в среде рабочего стола GNOME, выдавая себя за расширение.

GNOME — это наиболее распространенная среда рабочего стола Linux, которая используется в качестве интерфейса по умолчанию в двух самых популярных дистрибутивах Linux, Ubuntu и Fedora, и на компьютерах, которые поставляются напрямую от производителей Linux, таких как System76 и Purism. Законные расширения позволяют вам изменять многие аспекты рабочего стола GNOME.

Вредоносное ПО, известное как EvilGNOME, может делать скриншоты и записывать звук с микрофона вашего компьютера. Он также может загружать ваши личные файлы. Более подробное описание доступно в отчете Intezer Labs, который дал EvilGNOME свое имя.

Это вредоносное ПО не привлекло много внимания, так как оно не могло оказать влияние на большое количество людей, но этого сочли достойным для освещения в печати, потому что оно вообще существовало.

Цель, серверы!

Linux относительно редко встречается на настольных компьютерах, но это самая известная операционная система на серверах, питающих интернет и управляющих большей частью мировой цифровой инфраструктуры.

Многие атаки направлены на сайты, а не на ПК. Хакеры часто ищут уязвимости в сетевых демонах, которые они могут использовать для получения доступа к серверам под управлением Linux. Некоторые установят вредоносный скрипт на сервере, который будет нацелен на посетителей, а не на саму систему.

Взлом компьютеров на базе Linux, будь то серверы или устройства IoT, — это один из способов заражения интернета или создания бот-сетей.

Где именно Linux небезопасен

Настольный Linux в его нынешнем виде вряд ли является крепостью. По сравнению с Windows XP, где вредоносное ПО могло получить доступ администратора без запроса пароля, Linux обеспечил гораздо лучшую безопасность. Сегодня, Microsoft внесла изменения, чтобы закрыть этот пробел в своей операционной системе.

И все же, беспокойство по поводу безопасности системных файлов почти не учитывается. Большая часть данных, которые нас интересуют, не сохраняется в папках нашей корневой системы. Это личные данные в нашем домашнем каталоге, которые так незаменимы и одновременно наиболее уязвимы. Программное обеспечение для Linux, вредоносное или иное, не требует вашего пароля для доступа к этим данным и обмена ими с другими.

Учетные записи пользователей также могут запускать сценарии, которые активируют ваш микрофон, включают веб-камеру, регистрируют нажатия клавиш и записывают то, что происходит на экране.

Другими словами, почти не имеет значения, насколько защищено ядро ​​Linux или меры безопасности, связанные с различными компонентами системы, если именно уязвимости в приложениях и среде рабочего стола могут подвергать риску наиболее важные для вас данные.

EvilGNOME не устанавливает себя среди ваших системных файлов. Он скрывается в скрытой папке в вашем домашнем каталоге. С положительной стороны, это облегчает удаление. Но вы должны сначала знать, что он именно там.

4 причины, почему Linux относительно безопасен в использовании

Хотя Linux не защищен от эксплойтов, при повседневном использовании он все же обеспечивает гораздо более безопасную среду, чем Windows. Вот несколько причин, почему.

1. Несколько дистрибутивов, сред и компонентов системы

Разработчикам приложений сложно разрабатывать для Linux, потому что существует так много версий для поддержки. С такой же проблемой сталкиваются создатели вредоносных программ. Какой лучший способ проникнуть на чей-то компьютер? Вы крадете код в формате DEB или RPM?

Вы можете попытаться использовать уязвимость на сервере отображения Xorg или в определенном оконном композиторе, только чтобы обнаружить, что у пользователей установлено что-то еще.

2. Магазины приложений и менеджеры пакетов Shield Linux Users

Традиционные системы управления пакетами Linux помещают разработчиков приложений и рецензентов между пользователями и их источником программного обеспечения. Пока вы получаете все свое программное обеспечение из этих надежных источников, вы вряд ли столкнетесь с чем-то вредоносным.

Внимание! Старайтесь не копировать и не вставлять инструкции командной строки для установки программного обеспечения, особенно если вы точно не знаете, что делает команда и не уверены в источнике.

3. Новые технологии активно учитывают безопасность

Новые форматы приложений, такие как Flatpak и Snap, предоставляют разрешения и «песочницу», ограничивая доступ к приложениям. Новый дисплейный сервер Wayland не позволяет приложениям делать снимки экрана или запись на экране, что усложняет его использование.

Читать еще:  Css new line

4. Исходный код открыт для всех

Основное преимущество Linux заключается в возможности просмотра кода. Поскольку Linux имеет открытый исходный код, а не проприетарный, вам не нужно беспокоиться о том, что сам рабочий стол работает против вас, действует как шпионское ПО или страдает от эксплойтов, которые не были раскрыты по коммерческим причинам.

Даже если вы не можете разобраться в коде, вы можете читать сообщения или отчеты в блоге того, кто это делает.

Стоит ли бояться вредоносного ПО Linux?

Это миф, что пользователям Linux не нужно беспокоиться о вирусах, но если вы будете придерживаться магазинов приложений вашего дистрибутива или других надежных источников, таких как Flathub, вы вряд ли наткнетесь на что-нибудь опасное.

Независимо от того, какую операционную систему вы используете, важно, чтобы вы вырабатывали безопасные цифровые привычки. Не заблуждайтесь, полагая, что переход на Linux означает, что вы можете без проблем скачивать что и откуда угодно.

Тем не менее, для большинства из нас самый большой риск, вероятно, не вредоносные программы, а создание большого количества учетных записей в интернете или зависимость от облачных сервисов, фишинг-мошенничество представляет собой гораздо большую угрозу вашим данным, независимо от того, используете вы Linux или нет.

Защита системы Linux: 11 советов по безопасности

Защита системы – важная составляющая работы. В статье 11 полезных советов, которые помогут сделать вашу UNIX-систему более защищённой.

Ежедневно обнаруживаются десятки уязвимостей, создаются сотни эксплоитов. Не исключено, что уязвимость может быть найдена и в UNIX-системах, поэтому, вам стоит обезопасить себя от “нежелательного вторжения”, даже если вы периодически обновляете ОС.

Защитите терминал

Вы можете защитить консоль, ограничив права root на использование определённых терминалов. Сделать это можно, указав терминалы, которые будет использовать root в /etc/securetty .

Предпочтительно (но не обязательно) разрешать root вход только в один терминал, а другие оставлять для прочих пользователей.

Всегда меняйте пароль

В наши дни просто необходим сильный пароль, но чтобы добавить ещё один слой защиты, следует время от времени его менять.

Вы можете забывать о смене пароля, поэтому должно быть что-то, что будет вам напоминать об этом.

Есть два способа добиться этого:

  1. Использование chage
  2. Установка значений по умолчанию в /etc/login.defs

Мы используем параметр -M для установки срока пароля. Вы можете использовать chage без параметров, и тогда система попросит ввести вас значение.

Вы также можете перейти в /etc/login.defs и поменять значения в соответствии с вашими потребностями.

Имейте в виду, что вам следует заставить других пользователей создавать надёжные пароли, используя pam_cracklib.

Как только вы его установите, перейдите в /etc/pam.d/system-auth и введите что-то вроде этого:

Оповещения sudo

sudo-команды значительно облегчают жизнь, однако могут привести к проблемам безопасности Linux, которые могут испортить вам жизнь.

Все конфигурации sudo лежат в /etc/sudoers .

Вы можете запретить пользователям выполнять команды как root. Вы можете сделать так, чтобы во время использования sudo, приходило письмо с оповещением на почту. Добавьте эти строки в конец файла:

Защита системы: SSH

Если мы говорим о Linux, то стоит упомянуть SSH. SSH — это протокол прикладного уровня, позволяющий удалённо управлять операционной системой. Это очень важная вещь, и если вы используете SSH, необходимы хотя бы минимальные настройки безопасности.

Файл конфигурации лежит в /etc/ssh/sshd_config .

Сканнеры или боты, которые будет использовать атакующий, прежде всего попытаются подключиться к дефолтному порту 22, который указан в конфигурации. Вы можете поменять порт в файле:

Вы также можете запретить вход с root’а: обновите значение PermitRootLogin, поставив ‘no’

И, конечно же, замените обычный пароль на открытый и закрытый ключи:

Что касается тайм-аутов SSH, эта распространённая проблема может быть решена путём настройки перечисленных ниже параметров.

Например, следующие настройки подразумевают, что пакет будет отправляться каждые 60 секунд:

Регулируя эти значения, вы можете обеспечить более продолжительное соединение.

Вы также можете указать пользователей или группы, которым разрешено пользоваться SSH:

Защита системы: SSH + Google Authenticator

Кроме указанного способа вы также можете использовать двухфакторную аутентификацию для SSH, например Google Authenticator.

Далее запустите, чтобы установить.

На вашем телефоне должно быть установлено приложение Google Authenticator. Отредактируйте файл /etc/pam.d/sshd , добавив следующую строку:

Читать еще:  Delphi update sql

Последнее, что необходимо сделать – сообщить SSH об установленном аутентификаторе, добавив следующую строку в /etc/ssh/sshd_config :

Теперь перезапустите SSH.

Теперь, когда вы будете входить в систему, используя SSH, вас попросят ввести код подтверждения. Ваш SSH стал более защищённым и надёжным.

Защита системы посредством обнаружения вторжений с помощью Tripwire (мониторинг файловой системы)

Tripwire – один из лучших инструментов для обеспечения безопасности Linux. Это система обнаружения вторжений (HIDS). Задача Tripwire – мониторинг файловой системы и фиксирование изменений файлов.

Для того, чтобы установить Tripwire, нужен доступ к репозиторию EPEL.

Как только вы установили EPEL, можете установить Tripwire:

Во-первых, создайте ключевые файлы:

Вам будет предложено ввести парольную фразу для этих файлов. Используйте сильный пароль.

Теперь вы можете настроить Tripwire, отредактировав файл /etc/tripwire/twpol.txt . Файл очень легко редактировать, потому что каждая строка имеет пояснения в виде комментариев.

Как только закончите, инициализируйте Tripwire:

Процесс сканирования займёт некоторое время, это зависит от размера и количества хранящихся файлов. Любые изменения в файловой системе считаются вторжением. Администратор будет уведомлён, затем ему нужно будет восстановить систему с файлами, которым можно доверять.

По этой причине любые системы должны проверяться через Tripwire. Для этого используйте следующую команду:

Последнее, что касается Tripwire, я бы порекомендовал вам защитить файлы twpol.txt и twcfg.txt для создания ещё одного слоя безопасности. У Tripwire очень много опций и настроек, вы можете посмотреть их с помощью man tripwire .

Защита системы с помощью Firewalld(CentOS)

Firewalld является заменой iptables, он улучшает управление безопасностью Linux. Программа может изменить конфигурацию, не останавливая текущие подключения. Firewalld работает как служба, позволяющая добавлять и немедленно изменять правила и использующая сетевые зоны.

Чтобы узнать, запущен ли Firewalld, введите следующую команду:

Вы можете вывести предопределенные зоны вот так:

Каждая из этих зон имеет “уровень доверия”. Значение может быть обновлено так:

Вы можете получить всю информацию о конкретной зоне следующим образом:

Также вы можете вывести все поддерживаемые службы:

Затем вы можете включить в список дополнительные службы или удалить конкретные:

Вывести открытые порты для конкретной зоны:

Удалить или добавить порты в зону:

Добавить или удалить переброску портов для зоны:

Самое лучшее свойство Firewalld заключается в том, что вы можете управлять архитектурой брандмауэра без перезапуска или остановки конкретных служб, в отличие от iptables, где нужно перезагрузить или перезапустить службу.

Возвращаемся к Iptables

Некоторые люди предпочитают iptables firewall Firewalld’у, вы можете с лёгкостью вернуться к iptables, если раньше использовали Firewalld.

Первым делом, отключите Firewalld:

В конце перезагрузите систему.

Неизменяемые файлы (запрет на модификацию файла)

В неизменяемые файлы не может внести изменения никакой пользователь, даже root. Он не может изменить их или удалить, пока не удалит неизменяемый бит. Только root может сделать это. Можно сказать, что эта функция защищает вас как root от любых ошибок, которые могут повредить вашу систему.

Вы можете защитить любой файл, который захотите. Используем команду chattr .

Неизменяемость файла можно убрать:

Управление SELinux с помощью aureport

Отключённый SELinux – обычная вещь, если вы используете хостинговые панели управления.

Отключение SELinux оставляет систему незащищённой. Нельзя не согласиться с тем, что SELinux имеет определённые сложности, однако вы можете упростить себе жизнь, используя aureport.

Утилита aureport разработана для создания табличных отчётов для логов аудита.

Вы можете создать список исполняемых файлов:

Кроме того, aureport можно применять для генерации полного отчёта об аутентификациях.

Также вы можете вывести список неудачных попыток аутентификации:

Или, может быть, итог успешных аутентификаций:

Используем sealert

В добавок к aureport, вы можете использовать инструмент sealer. Установка:

Теперь у нас есть инструмент, возвращающий объявления из файла /var/log/audit/audit.log и дающий нам понять о проблемах SELinux, если таковые возникают.

Вы можете использовать это примерно так:

Лучше всего в генерируемых отчётах то, что, если обнаружена проблема, вы с лёгкостью сможете найти способ её решения.

Заключение

В этой статье мы рассмотрели только некоторые из трюков для обеспечения безопасности Linux. Однако существует ещё множество различных способов для множества популярных инструментов, которые нуждаются в усилении защиты.
Надеемся, вы узнали что-то новое из статьи и сочли это полезным.

Ссылка на основную публикацию
Adblock
detector