Нужен ли антивирус в Linux?

[Pavels]

Разумеется, Linux куда лучше защищён, чем Windows, но, тем не менее, если не ошибаюсь, в последнее время растёт число кроссплатформенных вирусов, да и популярность Linux подросла, а вместе с ней - и интерес мошенников к платформе.
Как Вы думаете, так ли велика опасность, чтобы использовать антивирус в Linux?
Если антивирус в Linux у Вас установлен, то какой? Многие крупные разработчики коммерческих средств защиты уже выпустили linux-версии своих программ, но, на мой взгляд, хватило бы и бесплатного.
Наконец, можно ли считать, что хороший пароль root и разумная осторожность пока ещё надёжно защитят от вирусов в Linux и поэтому можно обходится без антивируса?

[ludoed]

пока не вижу смысла, но слежу за ситуацией

[ASD]

Антивирус на Linux-системы обычно ставят:

1) На серверы;

2) В случае, когда с домашнего компа под Линуксом идёт раздача и-нета на все остальные домашние машины под управлением "окошек" (дополнительная их защита).

3) Просто параноики  

[Pavels]

Просто параноики

Ну, параноики вообще ставят один антивирус под Линь и от пяти до семи в Винде. 
Как ни крути, под Андроид уже пошли и вирусы, и антивирусы. К счастью, у настольных Linux пока нет такой популярности, чтобы все хакеры бросились писать под него зловредов. Выходит, что незначительная доля Linux-систем - очень большой плюс для тех, кто всё-таки пользуется ими. То есть для нас.
--------------------------------------------------------------------------------------
Наверное, необходимо в рамках данной темы разграничивать полноценные антивирусные пакеты (которые осуществляют защиту on-access) и антивирусные сканеры.
Согласен, что программы, реализующие проактивную защиту, пока действительно не стоит устанавливать. Если подумать, то необходимости нет. Она появится лишь тогда, когда вероятность поймать какую-либо заразу при работе в Linux без антивируса станет выше, чем риск подхватить какую-либо пакость при работающем полноценном антивирусе. Именно в этом случае можно будет считать, что антивирусный монитор необходим. Не знаю точно, какая сейчас средняя по отрасли эффективность проактивной защиты, но, насколько я помню из последних увиденных тестов, эта цифра около 98-99%, то есть антивирусы пропускают 1-2% угроз. Значит, пока вероятность поймать вирус в Linux меньше 1-2%, можно спокойно обходиться без полного антивирусного пакета. (Я могу ошибаться с цифрами, но общий принцип и вывод от этого не меняются, потому что риск заражения на данный момент явно ниже даже одной сотой процента). А кроме того, любой антивирус сильно снижает производительность, а лишние тормоза никому не нужны. В целом радуемся, что есть возможность жить и без вирусов, и без антивируса. 
А вот сканер "по требованию" поставить можно, хотя бы для того, чтобы, как сказал ASD, по возможности проверять файлы, пересылаемые на Windows-машины. И для перестраховки сканировать систему раз в год.
Но в любом случае, коммерческий покупать не надо. В случае с Linux будет совершенно достаточно бесплатного сканера.
Сам детально не исследовал, только однажды посмотрел на Linux-версию Avast: установил, открыл окно, удивился, что интерфейс не тот и пока что забыл о нём.
P. S. Тема не закрыта.

[Fastor]

Господа, ну что за бред про кросплатформенные вирусы. Как вы сами себе представляете эту реализацию? На серверы антивирус нужен. Дело в том, что на серверах в автоматичском режиме исполняется много кода. Причем исполняется на большом кол-ве интерпретаторов. Данные интерпретаторы зачастую запускаются с привелегированными правами. Тут как ни крути, придется мониторить процесс выполнения. Да и разнообразие серверных решений не блещет разнообразием. Если мы посмотрим на большинство серверов, то мы увидим FreeBSD, CentOS, Debian и Ubuntu, еще есть поделки Sun, но они очень редки. Далее с точки зрения информационной ценности, то сервер очень лакомный кусок. Поэтому на сервера зачастую пишут вирусы под конкретную единицу. Что касается Android. То дело в том, что это одна ОС, имеющая одни репы фактически. Поэтому чем больше пользователей этой оси, тем более вероятно, что под нее начнут писать вирусы, также как и с виндой. Плюс не очень грамотно реализованная политика самого адроид-маркета, желание набить его большим кол-вом приложений подменило безопасность. Что же касается десктопов, ноутбуков, нетбуков, неттопов. То посмотрите на зоопарк систем на базе ядра Linux. И зачастую большинство из них имеют свои репы. В большинстве случаев, пакеты перед тем как попасть в репы, тщательно тестируются. Теперь сами подумайте, как можно написать под это все кросплатформенный вирус. Скажете интерпретатор, но увы, большинство функций вируса не смогут быть реализованы без привелегированных прав. Тут главное понимать, что такое рут и что не стоит в sudo ставить автоввод пароля (есть там такая фишка, и многие в интернете в своих статьях рекомендуют так делать, мол гемора меньше, а в реальности потом еще больше). При таких действиях вломиться в систему будет довольно затруднительно. А также не стоит бездумно менять права на директории, правила udev.
Недавно случайно забрел на один сайт и цепанул браузерный вирус. Т.е. код выполнялся первоначально в браузере, но дальше дело не пошло. Просто браузерам из-под юзера запрещены многие вещи, а пароля рута или пароля юзера (для sudo) он не знает. И в результате этот код начал валить в систему кучу запросов, приводя к повышенной загрузке ЦП. Короче браузер в результате просто завис. В винде или андроиде я больше чем уверен привело бы к печальным последствиям.
Безобасность десктопа - это в первую очередь дело прямых рук и грамотно выставленных правил в системе. А не наличие крутого распиаренного антивируса. Да и нужно не лениться, хоть раз в месяц просматривать логи системы.

[Владимир Юрганов]

антивирусника не имею, но смысл иметь его вижу в том, что бы почистить внешний носитель.

[Prof1983]

антивирусника не имею, но смысл иметь его вижу в том, что бы почистить внешний носитель.

А я все как-то по старинке вирусные файлы удаляю - как обычные файлы.
Обычно это всегда autorun* и т.п. в корне а так же всякие *.exe, *.pif с значками папок и т.п.
Ну а файлы и программы у меня на внешних носителях всегда в виде 7z архивов. Внутрь архивов вирусы пока особо не умеют забираться.

P.S. Не пользуюсь антивирусами и не пользовался никогда. В Win достаточно соблюдать простые правила:
1. Отключить автозапуск в реестре (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom - DWORD AutoRun, значение 0 - автозапуск отключен, 1 - включен)
2. Включить встроенный брандмауэр.
3. А самое главное - НЕ ТЫКАТЬ КУДА ПОПАЛО!

Судя по моим наблюдениям в 99% случаев пользователи сами запускают вирусные программы щелкая на них мышкой. При этом думают что открывают папку или какой-то документ (doc, jpg, zip и т.п.), т.к. иконки очень похожие.

Ну и самое главное, что хочу сказать: Антивирусы - это вирусы для мозгов! Уже даже наши сисадмины начинают верить что без антивируса в интернет выходить нельзя. Хотя, надо признать, что для обычных пользователей чаще дешевле заплатить за антивирус 1500 руб, чем периодически "лечить" компьютер.

Извините что так много написал, но наболело.

[Владимир Юрганов]

да можно в ntfs закрыть доступ к корню винта, а писать только в папки.
однако не только автораны бывают

[vita]

Вирусная угроза в среде Android существует реально. Какой антивирус выбрать?

[ludoed]

В Андроиде лучший антивирус - это здравый смысл.
Ставлю программы только с 4pda, с Маркета - ничего, кроме обновлений стандартных программ.

[Pavels]

Присоединяюсь к Ludoed. Пока что, на наше счастье, ситуация с вирусами под Linux более-менее неплохо описывается шуткой.

Все "вирусы" под Linux относятся к категории "сам скачал, сам пропатчил ось, сам скомпилировал, сам проверил, сам запустил, сам себе злобный дятел".

То есть почти все вирусы зависят от пользователя: требует его непосредственного вмешательства для установки. А это уже, простите, проблема здравого смысла и навыков элементарной информационной самообороны.
Да и Android - не настольный Linux, потому что там вирусов, пожалуй, в сотни раз больше.
Вот если Ubuntu хорошо устроится на планшетах, то тогда, глядишь, и пойдут червивые репозитории.
Впрочем, мобильный вирус все равно слишком много с обычного компа не украдёт. Будет что-то вроде "Не удалось найти СИМ-карту..."  
----------------------------------------------------------------------------------------------------------------------------
И вообще...
Давайте оставаться компьютерным меньшинством, потому что, покуда нас мало, вирусописателям мы не интересны.

[gvitaly]

Некоторые "бесплатные" или "условно-бесплатные приложения" на Android иногда пытаются отправить смс, например при установке. Один раз друг устанавливал приложение, все время нажимал "Далее", "Далее", уже не смотря, так как надоело. В итоге отправилась смс, и на счету -300р.
Он установил из магазина приложений бесплатный ДокторВеб. Теперь тот блокирует отправление приложениями смс, а иногда и рекламу (а жрет около 2-3 Мб оперативной памяти).
Получается в данном случае антивирус не от вирусов, а от разработчиков.

[snowman-fedya]

Linux.Sshdkit атакует Linux-серверы
http://news.drweb.com/?i=3332&c=5&lng=ru&p=0

[vita]

Linux.Sshdkit атакует Linux-серверы
http://news.drweb.com/?i=3332&c=5&lng=ru&p=0

В указанной статье упоминаются признаки заражения вредоносной программой операционной системы" , а именно наличие библиотеки /lib/libkeyutils* размером от 20 до 35 КБ".
Данная библиотека действительно установлена в системе по умолчанию, в синаптике такая информация о ней:

Keyutils -- это набор утилит для управления хранящимися в ядре ключами,
которые могут использоваться файловыми системами, блочными устройствами и
т.д. Он позволяет получать и извлекать ключи авторизации и шифрования,
необходимые для выполнения обеспечивающих безопасность операций.

Этот пакет предоставляет обёрточную библиотеку над системными вызовами
средства управления ключами.

Проверено три системы: Рунту Lite 10.04 2013, Point Linux и SolusOS. Получается, что все проверенные Linux-дистрибутивы заражённые? Или же это дезинформация в надежде поднять рейтинг компании «Доктор Веб»?

[ludoed]

3. А самое главное - НЕ ТЫКАТЬ КУДА ПОПАЛО!

Это правило не только в Win, его и в Real Life соблюдать не помешает
 

В указанной статье упоминаются признаки заражения вредоносной программой операционной системы" , а именно наличие библиотеки /lib/libkeyutils* размером от 20 до 35 КБ".

Может быть, выпало ключевое слово "подмененной" библиотеки?

Хотя больше похоже на "продвижение" Dr.Web на рынок Linux-серверов. Может, они и трояна сами написали?

[HsH]

В указанной статье упоминаются признаки заражения вредоносной программой операционной системы" , а именно наличие библиотеки /lib/libkeyutils* размером от 20 до 35 КБ".

    По имеющейся у меня информации, вирусную активность проявляет конкретный файл /lib/libkeyutils.so.1.9 (/lib64/libkeyutils.so.1.9 для 64х-разрядных систем.

Проверено три системы: Рунту Lite 10.04 2013, Point Linux и SolusOS. Получается, что все проверенные Linux-дистрибутивы заражённые? Или же это дезинформация в надежде поднять рейтинг компании «Доктор Веб»?

   Встречайте источник заражения "из первых рук" - libkeyutils1.

Статья действительно похожа на попытку продвинуть на пока ещё мало востребованном рынке антивирусной защиты для Linux свой продукт и рассчитана на пользователей, которые находятся во власти привычек, приобретённых в "альтернативной" ОС  .

[Fastor]

Ну так никто не мешает взять исходник и показать программисту. В конце концов собрать библиотеку из чистого исходника и протестировать. Исходники общедоступны, это не проприетарные ОС же.
Поражает сам подход компании Dr.Web, попытка выдать желаемое за действительное. Подменить библиотеку на зараженную можно только либо в репе, либо под рутом. Все. И то, и другое маловероятно, т.к. мало кто ставит системные библиотеки из левых репов.

[kompilainenn]

Подменить библиотеку на зараженную можно только либо в репе, либо под рутом. Все. И то, и другое маловероятно, т.к. мало кто ставит системные библиотеки из левых репов.

тем не менее ставят либы из рра, поскольку бывает, что они там более новые, чеп в стандартных репах и требуются для какого-то софта

[snowman-fedya]

тем не менее, если из-за "дырки" есть возможность получить рута, то установить такую дрянь проблем не составит.

и если эта дрянь нечувствительно просочится к разработчику дистрибутива, который потом сделает свой бинарный набор...

в общем, надо вычислять контрольные суммы и сравнивать с оригинальными, из 100% чистого дистрибутива.

[Fastor]

snowman-fedya, эта "дырка" называется: криворукость сисадмина. Рута без пароля не получить априори. Но некоторые в конфиг sudo вносят изменения, позволяющие осуществлять автоввод пароля.
P.s. Я себе давно взял за привычку: или ставить системные либы из официальных репов дистрибутива, или самому собирать из исходников, предоставляемых разработчиком либы.

[HsH]

  К слову, вот эта уязвимость гораздо опаснее ранее приведённой, по сути является 0-day. Будем надеяться, что в ближайшее время будет устранена, иначе использование ядра 3.5 в сборках на 12.04 под большим вопросом.

P.S.: Уязвимость была закрыта  выпущенным сегодня обновлением ядра.

[Pavels]

Никак не могу понять: речь всё же идёт о том, что какой-то реально существующий вирус подменяет системный файл?
Или это неверная информация (случайная или намеренная), и в действительности такой файл ни в  какой ситуации не является вирусным?
Между прочим, в Runtu LITE 12.04 я его не видел...

Спойлер: ПоказатьСкрыть

we@home-pc:~$ ls /lib
cpp                                   libply-boot-client.so.2.0.0
crda                                  libply.so.2
cryptsetup                            libply.so.2.0.0
firmware                              libply-splash-core.so.2
i386-linux-gnu                        libply-splash-core.so.2.0.0
init                                  libply-splash-graphics.so.2
klibc-LZ1cv1NoEVO2ugnvqTw3e4qPc8Y.so  libply-splash-graphics.so.2.0.0
ld-linux.so.2                         libproc-3.2.8.so
libcryptsetup.so.4                    libsysfs.so.2
libcryptsetup.so.4.0.0                libsysfs.so.2.0.1
libdevmapper-event.so.1.02.1          libulockmgr.so.1
libdevmapper.so.1.02.1                libulockmgr.so.1.0.1
libfuse.so.2                          linux-sound-base
libfuse.so.2.8.6                      lsb
libiw.so.30                           modules
liblvm2app.so.2.2                     oss-compat
libnewt.so.0.52                       plymouth
libnewt.so.0.52.11                    resolvconf
libnl-3.so.200                        security
libnl-3.so.200.3.0                    systemd
libnl-genl-3.so.200                   terminfo
libnl-genl-3.so.200.3.0               udev
libply-boot-client.so.2

[ivm ®]

Так что пользуйтесь антивирусным софтом на здоровье! Лечитесь от вирусов, некоторые из которых созданы и распространены самими антивирусными компаниями для поддержания спроса на свою продукцию!
Вы имеете на это полное право!

[sanb]

Для своей работы Linux.BackDoor.FakeFile.1 не требует привилегий root, он может выполнять вредоносные функции с правами текущего пользователя, от имени учетной записи которого он был запущен.

http://news.drweb.ru/show/?i=10265
http://vms.drweb.ru/virus/?_is=1&i=8856496

[HsH]

он может выполнять вредоносные функции с правами текущего пользователя, от имени учетной записи которого он был запущен.

    Нужно добавить - "в каталоге пользователя, от имени которого он был запущен". По большому счёту этот вирус ничем не отличается от скрипта, в котором выполняется набор предопределённых команд. Поскольку самостоятельно поднять привилегии не может, нанести вред получится только учётной записи пользователя, который его запустил.

[sanb]

Ну пошифрует документы юзера и все, ну может еще профили приложений отправит куданить или ддосе поучавствует

[HsH]

    sanb, любое действие с правами пользователя, который его запустил.

[sfs]

Появление вирусов специально ориентированных на Линукс - это реально признание Линукса. Поздравляю всех 

[sanb]

    sanb, любое действие с правами пользователя, который его запустил.

а что вы этим хотите сказать?
у большинства в домашних папках много чего интересного есть
документы, профили и тд
это троян с бекдором который еще может принимать команды
что помешает статично скомпиленому трояну собирать ваши манипуляции и слать на сервер?
думаете он не сможет работать из юзерспейса?

[HsH]

    sanb, считаете ли вы вирусом скрипт

Код: [Выделить]

#!/bin/sh
гm -гf ~который пользователь загрузил из интернета и запустил двойным кликом?

[sanb]

данный нет конечно, но что общего?)

[HsH]

   Обфусцируем/переводим скрипт в бинарный формат.

Для своей работы  не требует привилегий root, он может выполнять вредоносные функции с правами текущего пользователя, от имени учетной записи которого он был запущен.

Справедливо данное утверждение?

Стал ли он после этого вирусом?

[smik55]

В ядре Linux выявлена опасная уязвимость CVE-2016-5195, которой присвоено кодовое имя "Dirty COW", позволяющая непривилегированному локальному пользователю повысить свои привилегии в системе. Проблема отмечена некоторыми экспертами как одна из наиболее опасных уязвимостей в ядре, чему способствует наличие надёжно рабочего прототипа эксплоита, простота проведения атаки (экплоит не зависит от особенностей окружения) и сведения о длительном использовании данной уязвимости злоумышленниками до исправления проблемы (проблема была выявлена на основе изучения перехваченного эксплоита). Уязвимость присутствует с 2007 года и проявляется в ядрах Linux, начиная с выпуска 2.6.22.

https://www.opennet.ru/opennews/art.shtml?num=45354

Владельцам смартфонов и планшетов на ОС Linux и Android нужно иметь в виду, их могут запросто взломать хакеры, предупреждают специалисты из израильской компании Perception Point. Обнаруженную в этих операционных системах ошибку они обозначили "CVE-2016-0728". По сообщению специалистов Perception Point, именно с 2012 через неполадки юзеры и специальные программы могут запросто получить доступ к ОС, а также к личным данным в качестве администратора. Это поставило под угрозу безопасного сбережения данных миллионы пользователей ОС Linux.

http://spmc-realty.ru/post/1144/uyazvimost-yadra-linux-stavit-pod-udar-milliony-pol-zovateley-android.html