Buzz
Sau các lỗ hổng như SambaCry trên Linux, bảo mật trên Linux trở nên cực kỳ quan trọng. Có nhiều công cụ mã nguồn mở để kiểm tra và phát hiện phần mềm độc hại xâm nhập vào hệ thống. Dưới đây là 3 công cụ hiệu quả nhất để quét virus và rootkit trên Linux.
Hướng dẫn quét virus và rootkit trên Linux
1. ClamAV
ClamAV là một công cụ diệt virus phổ biến và đã trở nên quen thuộc với nhiều người. Ngoài ra, ClamAV cũng có phiên bản dành cho Windows.
Cài đặt ClamAV và ClamTK
ClamAV và ClamTK là hai gói phần mềm riêng biệt. ClamAV có thể chạy từ dòng lệnh mà không cần giao diện đồ họa, trong khi ClamTK có giao diện đồ họa đơn giản hơn, phù hợp với nhiều người dùng hơn. Dưới đây là cách cài đặt ClamAV và ClamTK.
Dành cho các distro Debian và Ubuntu:
sudo apt install clamav clamtk
Nếu không dùng distro Ubuntu, bạn có thể tìm clamav và clamtk trong trình quản lý gói.
Sau khi cài đặt xong hai chương trình, bước tiếp theo là cập nhật cơ sở dữ liệu virus của cả hai. Khác biệt so với các chương trình diệt virus khác, với ClamAV, bạn cần thực hiện lệnh root hoặc sudo:
sudo freshclam
Freshclam hoạt động như một dịch vụ nền. Để chạy freshclam thủ công, bạn cần tạm ngưng dịch vụ này qua Systemd rồi tiến hành chạy freshclam như bình thường.
sudo systemctl stop clamav-freshclam
Quá trình này sẽ mất một khoảng thời gian.
Quét Virus và Rootkit trên Linux
Trước khi quét virus và rootkit trên Linux, bạn nhấn vào nút Cài đặt, chọn các tùy chọn Quét các tập tin bắt đầu bằng dấu chấm, Quét các tập tin lớn hơn 20 MB, và Quét thư mục một cách đệ quy.
Quay trở lại màn hình chính, nhấn vào Quét Một Thư Mục. Chọn thư mục mà bạn muốn quét. Nếu muốn quét toàn bộ hệ thống, chọn Hệ thống Tập Tin. Bạn sẽ cần phải chạy lại ClamTK từ dòng lệnh với quyền sudo để chương trình hoạt động.
Sau khi quá trình quét kết thúc, ClamTK sẽ thông báo về bất kỳ mối đe dọa nào được phát hiện và cho phép bạn xử lý chúng. Tốt nhất là loại bỏ những mối đe dọa này, nhưng cũng có thể gây ra sự không ổn định của hệ thống.
2. Chkrootkit
Phương pháp tiếp theo để quét Virus và Rootkit trên Linux là cài đặt và sử dụng Chkrootkit. Chkrootkit sẽ quét các rootkit cho hệ thống Unix như Linux và Mac. Rootkit nhằm mục đích chiếm quyền root trên hệ thống.
Chkrootkit quét các file hệ thống để tìm dấu vết của phần mềm độc hại và kiểm tra chúng dựa trên cơ sở dữ liệu của các rootkit đã biết.
Chkrootkit thường được tích hợp sẵn trong các kho phân phối. Bạn có thể cài đặt Chkrootkit thông qua trình quản lý gói.
sudo apt install chkrootkit
Kiểm tra Rootkits
Chạy lệnh với quyền root hoặc sudo:
sudo chkrootkit
Lệnh sẽ liệt kê các rootkit tiềm năng và có thể tạm dừng trong quá trình quét file. Bạn sẽ thấy ghi chú “nothing found” hoặc “not infected” kèm theo từng file.
Chương trình không tự động hiển thị báo cáo cuối cùng sau khi quá trình quét hoàn tất, vì vậy bạn cần kiểm tra thủ công để đảm bảo không có rootkit tiềm năng nào.
Bạn cũng có thể sử dụng lệnh grep để tìm từ “INFECTED”, nhưng phương pháp này không phát hiện được tất cả.
Lỗi dương tính giả (false positive)
Chkrootkit đã được báo cáo có một lỗi sai dương tính trên Linux / Ebury - Operation Windigo. Vấn đề này đã được biết từ lâu và đã được xử lý bằng cách thêm cờ -G vào SSH.
Có một số cách kiểm tra thủ công bạn có thể áp dụng để xác minh đó là lỗi sai dương tính.
Đầu tiên, chạy lệnh dưới đây với quyền root.
find /lib* -type f -name libns2.so
Lệnh trên không đưa ra kết quả. Tiếp theo, thử kiểm tra xem phần mềm độc hại có đang sử dụng socket Unix không.
netstat -nap | grep '@/proc/udevd'
Nếu không có kết quả trả về, điều đó có nghĩa là hệ thống của bạn an toàn.
Bên cạnh đó, cũng có một lỗi sai dương tính mới liên quan đến tcpd trên Ubuntu. Nếu lệnh trả về kết quả tích cực trên hệ thống của bạn, hãy thử điều tra thêm, tuy nhiên cần lưu ý rằng kết quả có thể không chính xác.
Bạn cũng có thể gặp các mục cho wted. Điều này có thể là do lỗi hệ thống bị treo hoặc lỗi đăng nhập. Sử dụng last để kiểm tra xem có phải là do lỗi hệ thống hay không. Trong trường hợp này, nguyên nhân cũng có thể là do những lỗi đó chứ không phải là do phần mềm độc hại.
3. Rkhunter
Rkhunter cũng là công cụ để quét và tìm kiếm rootkit trên Linux. Giải pháp lý tưởng là chạy cả Chkrootkit và Rkhunter trên hệ thống của bạn để đảm bảo không bị bỏ sót bất kỳ virus hay rootkit trong trường hợp xảy ra lỗi sai xác thực.
Rkhunter cũng nằm trong kho phân phối của bạn.
sudo apt install rkhunter
Quét Virus và Rootkit trên Linux
Bước đầu tiên là cập nhật cơ sở dữ liệu của rkhunter.
sudo rkhunter --update
Sau đó là thực hiện quét Virus và Rootkit trên Linux
sudo rkhunter --check
Chương trình sẽ dừng lại sau mỗi phần. Có thể bạn sẽ nhìn thấy một số cảnh báo trên màn hình, có thể là do phát sinh cấu hình phụ tối ưu. Sau khi quá trình quét kết thúc, chương trình sẽ hiển thị cho bạn bản ghi hoạt động đầy đủ của nó trong /var/log/rkhunter.log. Bạn có thể nhìn thấy nguyên nhân của các cảnh báo ở đó.
Ngoài ra rkhunter cũng cung cấp cho bạn một bản tóm tắt đầy đủ các kết quả quét.
Dưới đây là 3 phương pháp quét virus và rootkit trên Linux. Để ngăn chặn sự lây lan của virus và rootkit, bạn cũng cần bảo vệ cổng USB trên hệ thống Linux của mình. Trước khi ra quyết định, hãy kiểm tra và xác minh kết quả một cách cẩn thận.
Nếu phát hiện bất kỳ sai sót nào, hãy cân nhắc các lựa chọn của bạn. Nếu phát hiện rootkit, hãy sao lưu dữ liệu của bạn và định dạng ổ đĩa để loại bỏ rootkit. Đề xuất thường xuyên chạy các chương trình và phần mềm diệt virus để quét và loại bỏ virus, rootkit trên hệ thống của bạn.
Không chỉ trên Windows, Linux, mà còn trên Mac và iOS cũng có các phần mềm và ứng dụng diệt virus để bảo vệ thiết bị của bạn 24/24. Bạn có thể lựa chọn các ứng dụng diệt virus tốt nhất cho iPhone mà Mytour đã giới thiệu trước đó. Trong số những ứng dụng diệt virus cho iPhone này, có những ứng dụng mà bạn đã biết.
