Найдем и обезвредим!

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #035, стр. 035-094-7

Места обитания заразы

Трояны в Linux всегда выбирают изысканные каталоги для своего проживания. Они любят находиться во всяких директориях, типа /dev/fdddd или /lib/.modules. Бывает, что зараза записывается в домашний каталог пользователя, маскируясь под файл " " (два пробела ;)). И это правильно, ведь в Linux на имена файлов вводится лишь одно ограничение - символ "/".

Реальный вирус проникает в организм и потихоньку заражает его клетки. В первые дни человек даже не чувствует присутствия заразы, но через некоторое время вирус начинает активно проявлять себя и губительно воздействовать на жизненно важные органы. Электронный вирь вместо клеток поражает... правильно, файлы! XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Трояны, в отличие от вирусов, обычно не наносят системе особого вреда. У них другая функция - переслать личную информацию с компьютера жертвы в руки злоумышленника. Делают они это незаметно и весьма искусно.

Привлекательность msconfig в том, что она объединяет все вкладки реестра, папку автозагрузки и показывает пользователю информацию обо всех запускаемых программах.

Открой командный интерпретатор (cmd.exe или command.exe) и напиши в нем команду netstat -an. Программа выплюнет в ответ список портов, которые листаются в системе, а также адреса, подключившиеся к твоему компьютеру.

Я лично знал человека, который перешел на Linux и долго смеялся над проблемой вирусов в винде. Естественно, что о собственной безопасности он даже не задумывался, пока за это не поплатился. Запустив пор рутом какой-то навороченный эксплоит под все платформы ;), горе-хакер лишился системы за несколько дней.

Все стартовые файлы располагаются в каталоге /etc/rc.d/ для Linux, либо в /etc/rc.* для FreeBSD. Убедись, что простой смертный не способен записать в них команды. И вообще, регулярная проверка таких стартовых документов никогда не помешает, если учесть, что тебя мог зарутать крутой хакер из интернета =).

По аналогии с виндой, в пингвине существует команда netstat. Она показывает состояние портов и сетевые подключения в данный момент. Ее вывод гораздо длиннее, по сравнению с Win32, поэтому используй команду netstat -an | grep LISTEN, либо netstat -an | grep ESTABLISHED. Тем самым ты отфильтруешь всю информацию, кроме состояния портов и активных подключений.

Системными утилитами легко пользоваться лишь в том случае, если ты уже набил руку. Конечно, человек, который первый раз столкнулся с командой netstat, не увидит в ее выводе ничего полезного. В этом случае тебе помогут... наши доблестные программисты.

Помимо антивирусов существует множество программ, нацеленных на обнаружение всяческих изменений в системе, в том числе md5-суммы файлов. Именно с помощью такого софта пользователь может определить замену бинарного файла или задетектить наличие виря в системе.