Cách quét Virus và Rootkit trên Linux

Việc thực hành phương án quét Virus và Rootkit trên hệ điều hành Linux sẽ giúp bạn bảo vệ an toàn cho dữ liệu của mình hơn, thay vì khi phát hiện ra hoặc cho rằng Linux khó bị nhiễm mã độc, virus giống trên Windows, thì chúng ta hãy phòng tránh trước cũng là điều nên bởim.

Sau những lỗ hổng giúp cho virus, rootkit nghiêm trong xâm nhập trên Linux như lỗ hổng SambaCry trên Linux, người dùng hệ điều hành này cần thực hành những giải pháp bảo mật tối ưu hơn. Có nhiều công cụ mã nguồn mở mà bạn có thể sử dụng để quét và kiểm tra xem hệ thống Linux của bạn có đang bị phần mềm độc hại tấn công hay không. Tuy nhiên bạn phải lưu ý là không có công cụ, phần mềm nào là hoàn hảo cả. Dưới đây là 3 công cụ để quét Virus và Rootkit trên Linux hiệu quả nhất.

cach quet virus va rootkit tren linux

Cách quét Virus và Rootkit trên Linux

1. ClamAV

ClamAV là phần mềm diệt virus “chuẩn”, và có lẽ đã quá thân thuộc với bạn, ngoài ra, phần mềm diệt virus ClamAV cũng đều có phiên bản dành cho Windows.

Cài đặt ClamAV và ClamTK

ClamAV và giao diện đồ họa là các gói riêng biệt. Điều đây là chính vì ClamAV có thể được chạy từ dòng lệnh mà chẳng cần GUI (giao diện đồ họa người dùng). Giao diện đồ họa ClamTK đơn giản hơn, phù hợp với nhiều đối tượng người dùng hơn. Dưới đây là cách cài đặt ClamAV và ClamTK.

Đối với distro Debian và Ubuntu:

sudo apt install clamav clamtk

Nếu không sử dụng distro của Ubuntu, bbạn có thể tìm clamav và clamtk trong trình quản lý gói.

Sau khi cài đặt xong 2 chương trình, bước tiếp theo bạn phải làm là cập nhật cơ sở dữ liệu virus của 2 chương trình. Không giống như các chương trình diệt virus khác, với ClamAV bạn sẽ phải thực hành bằng lệnh root hoặc sudo:

sudo freshclam

Freshclam được chạy như 1 daemon. Để chạy freshclam bằng tay, bạn chặn daemon này lại bằng Systemd và sau đó chạy freshclam bình thường.

sudo systemctl stop clamav-freshclam

Quá trình trên sẽ mất một thời gian.

Quét Virus và Rootkit trên Linux

cach quet virus va rootkit tren linux 2

Trước khi quét virus và rootkit trên Linux, bạn click chọn nút Settings, đánh tích chọn các tùy chọn Scan files beginning with a dot, Scan files larger than 20 MB, và Scan directories recursively.

Quay trở lại màn hình chính, click chọn Scan A Directory. Chọn thư mục mà bạn muốn quét. Nếu muốn quét toàn bộ máy tính, chọn Filesystem. Bạn sẽ phải chạy lại ClamTK từ dòng lệnh bằng lệnh sudo để chương trình hoạt động.

Sau khi quá trình quét xong xuôi, ClamTK sẽ cảnh báo cho bạn bất kỳ mối dọa dẫm nào được phát hiện và sẽ cho phép bạn xử lý các mối dọa dẫm này. Mặc dù giải pháp tốt nhất là xóa các mối dọa dẫm này đi, nhưng có thể sẽ gây lỗi hệ thống không ổn định.

2. Chkrootkit

Giải pháp tiếp theo để quét Virus và Rootkit trên Linux là cài đặt và sử dụng Chkrootkit. Chkrootkit sẽ quét các dòng phần mềm độc hại cụ thể – rootkit cho hệ thống Unix giống như Linux và Mac. Đúng như tên thường gọi của nó, mục tiêu của rootkit là để đạt được quyền root trên hệ thống mà nó nhắm mục tiêu.

Chkrootkit quét các file hệ thống để tìm vết tích của phần mềm độc hại và kiểm tra chúng dựa trên cơ sở dữ liệu của các rootkit đã biết.

Chkrootkit được tích hợp sẵn trong tất cả các kho phân phối. Cài đặt Chkrootkit bằng trình quản lý gói:

sudo apt installchkrootkit

Kiểm tra Rootkits

Chỉ cần chạy lệnh với root hoặc sudo:

sudo chkrootkit

Lệnh sẽ chạy xuống bản kê các rootkit thực lực, và có thể tạm ngưng một ít trong quá trình quét các file. Bạn sẽ nhìn thấy ghi chú “nothing found” hoặc “not infected” nằm cạnh bên mỗi file.

Chương trình không hiển thị báo cáo cuối cùng sau khi quá trình quét xong xuôi, vì vậy bạn sẽ phải kiểm tra bằng tay để chắc chắn không có rootkit thực lực nào.

Ngoài ra bạn có thể đưa chương trình vào grep và tìm INFECTED, nhưng phương pháp này chẳng thể phát hiện mọi thứ.

Lỗi sai xác thực (false positive)

Chkrootkit được báo cáo là có 1 lỗi sai xác thực trên Linux / Ebury – Operation Windigo. Lỗi này đã được biết tới từ lâu và đã được thêm flag -G vào SSH.

Có một vài cách kiểm tra thủ công mà bạn có thể áp dụng để xác minh đó là lỗi sai xác thực.

Đầu tiên chạy lênh dưới đây làm lệnh root.

find /lib* -type f -name libns2.so

Lệnh trên không hoàn trả kết quả. Tiếp theo thử kiểm tra xem phần mềm độc hại có đã không sử dụng socket Unix hay không.

netstat -nap | grep “@/proc/udevd”

Nếu lệnh không trả về kết quả, tức là hệ thống của bạn an toàn.

Ngoài ra còn có lỗi sai xác thực mới với tcpd trên Ubuntu. Nếu lệnh trả về kết quả tích cực trên hệ thống của bạn, thử thanh tra thêm, tuy nhiên cần lưu ý rằng kết quả có thể là không chính xác.

Bạn cũng đều có thể gặp các mục cho wted. Điều này có thể là vì lỗi hệ thống bị treo hoặc lỗi đăng nhập. Sử dụng last để kiểm tra xem có cần là vì lỗi hệ thống hay không. Trong trường hợp này, nguyên do cũng đều có thể là vì những lỗi đó chứ chẳng cần là vì phần mềm độc hại.

3. Rkhunter

Rkhunter cũng là công cụ để quét và kiếm tìm rootkit trên Linux. Giải pháp lý tưởng là chạy cả Chkrootkit và Rkhunter trên hệ thống của bạn để đáp ứng tránh bị bỏ sót bất kỳ virus hay rootkit trong trường hợp diễn ra lỗi sai xác thực.

Rkhunter cũng nằm ở phía trong kho phân phối của bạn.

sudo apt install rkhunter

Quét Virus và Rootkit trên Linux

Bước trước mắt là cập nhật cơ sở dữ liệu của rkhunter.

sudo rkhunter –update

Tiếp theo là thực hành quét Virus và Rootkit trên Linux

sudo rkhunter –check

Chương trình sẽ dừng lại sau mỗi phần. Có thể bạn sẽ nhìn thấy một số cảnh báo trên màn hình, có thể là vì phát sinh cấu hình phụ tối ưu. Sau khi quá trình quét xong xuôi, chương trình sẽ hiển thị cho bạn bản ghi hoạt động đầy đặn của nó trong /var/log/rkhunter.log. Bạn có thể nhìn thấy nguyên do của các cảnh báo ở đó.

Ngoài ra rkhunter cũng cung cấp cho bạn một bản tóm lược đầy đặn các kết quả quét.

Trên đây là 3 cách quét virus và rootkit trên Linux, cạnh bên đó, để né lây truyền virus, rootkit hay những mã độc nghiêm trọng bạn cũng cần bảo vệ cổng USB trên Linux và trước lúc đem ra quyết định làm bất kể điều gì, thử kiểm tra và xác minh lại kết quả mà bạn nhận được.

Nếu phát hiện có gì đó sơ sót, cân nhắc các chọn lựa của bạn. Nếu phát hiện rootkit, tiến hành sao lưu các file dữ liệu của bạn và định dạng ổ đĩa đó để loại bỏ rootkit. Thường xuyên chạy các chương trình, phần mềm diệt virus để quét và loại bỏ virus, rootkit trên hệ thống của bạn.

https://truongthinh.info/cach-quet-viruses-va-rootkits-tren-linux-29122n/
Không những trên Windows, Linux mà trên Mac hay iOS cũng đều có những phần mềm, phần mềm hỗ trợ diệt virus bảo vệ thiết bị 24/24, bạn có thể chọn lựa những phần mềm diệt virus cho iPhone tốt nhất mà Truongthinh đã chia sẻ ngày trước, trong số những phần mềm diệt virus cho iPhone này, chắc các bạn cũng từng từng nghe thấy rồi.

Bên Tập & Sưu Tầm: Trường Thịnh Group