Сдаюсь: Ubuntu уязвима. Ставим антивирус!

Началось. За 5 лет я привык, что Линукс очень устойчив к «виндовым» вирусам, и сёрфил, где хотел. Однако всё же подхватил вредоноса: на панели стали появляться какие-то артефакты, но главное – после загрузки система начинала что-то передавать, и это было видно на системном индикаторе. Куда шла передача, я установил, но адресат не пинговался. Сомнений не было: троян или вирус! В общем-то, в связи с рапространением ОС «Андроид» (а это тоже Линукс) сие рано или поздно должно было произойти: для вредоносов появилась питательная среда. Опробовал на работу различных бесплатных антивирусов для Линукса. Все они имели свои недостатки – то систему чрезмерно грузили, как «Доктор Вебер», то только сканировали, как «Дефендер» или «Авира», то были слишком дырявыми, как ClamAV. Выбор мой остановился на чешском AVG. И вот почему.

В «виндовой» версии этот антивирус давно прижился и имеет неплохой графический интерфейс (GUI). Однако полная «виндовая» версия AVG, как и всех «виндовых» антивирусов, – платная. Для Линукса AVG поставляется без GUI, зато его полная версия бесплатная! А это-то и надо. Подозреваю, что вредоноса я подхватил через общий с ОС Windows диск, куда я сваливаю всё скачанное из Интернета. Как оказалось, в рабочем режиме линуксный AVG нагружает компьютер на один-полтора процента, а в режиме сканирования – где-то на 25%. Неплохо! Отсутствие GUI поначалу огорчало, но потом я увидел, что без GUI можно вполне обойтись и даже чувствовать себя комфортно – avg-шные демоны послушно запускаются при старте системы и не мешают работать. Вся система в 40 Гб просканировалась за 1,5 часа. Тоже неплохо.

Чтобы установить AVG, идём сюда и скачиваем самую последнюю версию, которая подходит для конфигурации вашего компьютера и линуксного менеджера пакетов. Затем направляемся в папку загрузок и оттуда устанавливаем AVG своим любимым менеджером пакетов. В Ubuntu и других «дебиановских» ОС – это gdebi. Данная консольная утилита относится к классу «мастхэв», при отсутствии таковой установите её из штатных репозиториев. На дату написания настоящей статьи устанавливался пакет avg2013flx. Возможно, у вас будет другое имя пакета. Запомните его. Оно вам пригодится, если захотите снести AVG командой

sudo dpkg -r имя_пакета

Регистрации AVG не требует. Чтобы после установки демоны AVG прописались в автозапуск, включаем с помощью эмулятора консоли контроллер этого антивируса, для чего выполняем команду

sudo avgctl

Контроллер AVG – это самостоятельная утилита. Ею впоследствии можно останавливать, запускать и перезапускать, как отдельные демоны антивируса, так и все оптом. Только надо помнить, что вызов контроллера надо предварять волшебным словом sudo, иначе команда может быть отклонена. Наберите в консоли команду

man avgctl

и ознакомьтесь детально c её несложным синтаксисом, расписывать его здесь нет смысла. Забегая вперёд, отмечу, что запущенное сканирование всегда можно остановить горячим клавишным сочетанием Сtrl+C. Но лучше, когда освоитесь, воспользовавшись биндилкой, подготовить себе горячие сочетания клавиш для управления AVG, это здорово нивелирует отсутствие GUI.

Перезагружаемся. Если сейчас выполнить команду htop (нет такой – поставьте, это «мастхэв»), то можно обнаружить следующие запущенные avg-шные демоны.

avgd – главный демон; стартует первым и управляет остальными демонами,

avgavid – антивирусный идентификатор,

avgsched – планировщик запуска событий (сканирование, обновление и т.д.)

avgtcpd – демон почты; поддерживает протоколы SMTP, AVG и Milter

avgspamd – антиспамер,

avgscand – сканер директориев и файлов,

avgupd – демон обновлений антивирусной базы,

avgoad – демон обнаружения попыток доступа к управлению системой.

Как видим, AVG имеет собственный планировщик задач, который не зависит от системного планировщика. Кроме того, AVG имеет собственный пускач демонов, в чём можно убедиться, заглянув в директорию /etc/init.d, где обнаруживаем avgd -> /opt/avg/av/etc/init.d/avgd.all*. Исполняемые файлы находится в директории /opt/avg/av/bin/.

После установки прежде всего надо обновиться. Для этого выполняем консольную команду

sudo avgupdate

Несконфигурированный AVG хуже сконфигурированного. Об этом часто забывают. Для конфигурирования AVG служит утилита avgcfgctl. Чтобы увидеть текущую настройку вашего AVG, выполните в консоли:

sudo avgcfgctl

Если вам не нужны фильтр спама, avg-шный планировщик (предпочитаете системный или руки) и фильтр почтовых серверов – зачем же зря грузить процессор, но вы по-прежнему желаете отлавливать вирусы, то выполните в консоли один раз эти команды (AVG запомнит их в своих конфигах):

sudo avgctl -- stop

sudo avgcfgctl -w Default.setup.features.antispam=false

sudo avgcfgctl -w Default.setup.features.oad=false

sudo avgcfgctl -w Default.setup.features.scheduler=false

sudo avgcfgctl -w Default.setup.features.tcpd=false

avgcfgctl -w Default.setup.daemonize=true

sudo avgctl -- start

Вообще, если вы что-то изменили в настройках AVG, не забывайте рестартовать его вот этой командой:

sudo avgctl restart

Как настраивать AVG? Смотрите, пожалуйста, вот такой командой:

man avgcfgctl

Не хотите разбираться – не надо. С настройками по умолчанию AVG вполне работоспособен. Как сканировать – читайте командой

man avgscan

Чтобы эвристически просканировать всю вашу систему, включая архивы и куки, проигнорировать ошибочные файлы и вывести результаты в индивидуальный логфайл mylogfile (он будет в домашней директории), запустите в консоли вот эту команду:

sudo avgscan / -a -H -c --ignerrors -r mylogfile

У меня получилось вот что:

Хорошо ещё, что зараза проникла только в домашнюю директорию. Но всё равно делаю вывод: Линукс уязвим. :)

Версия для печатиВерсия для печати

Рубрики: 

  • 1
  • 2
  • 3
  • 4
  • 5
Всего голосов: 0
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Страницы

Аватар пользователя mike

W Linuksie wsiem zanimajucca dziemony. Zapusticie ich.

Аватар пользователя jcdenton

Комментарий вдумчиво прочитавшего лог.

1. Всё, что начинается на /media/1CD9-1660/* - скорее всего, что-то вроде файлового хранилища (длина UUID говорит, что это скорее всего, NTFS-том). Сие непричастно, так как *.exe могут быть запущены в WINE, а у вас не уазано его наличие.

2. На пути /media/CB2F-6560/ - ещё один NTFS-том, там также *.exe. Смотри пункт 1.

2.1 - он же в домашней директории и без *.exe - и с тем же описанием. Пытались ставить программу, удалив расширение? Ну... я так тоже пробовал в своё время, не вышло.

3. Ниже - в вашей домашней директории в скрытой папке Opera (вот мы и выяснили, какой браузер вы используете для сёрфинга) указаны следящие кукисы (Tracking cookie *). Вот они-то и генерировали обмен данными по сети, а не Trojan horse generic и т. д.

В общем, "Мораль сей басни такова" - настройте очистку cookie по закрытию браузера - плюс можно поискать на тему запрета отслеживания в Opera и дополнения для защиты от следящих cookie. Ещё мысль - принимать cookie только с просматриваемых сайтов, блокируя сторонние.

Страницы