计算化学公社

标题: Linux还是需要杀毒的 [打印本页]

作者
Author: fcwr007 时间: 2024-6-10 19:49
标题: Linux还是需要杀毒的
你认为Linux系统需要下载杀毒软件吗？这是一个非常有争议的话题，很多人说Linux系统足够安全，不需要下载杀毒软件。
(, 下载次数 Times of downloads: 36)
但是，老牌杀毒软件厂商卡巴斯基却不这么认为，卡巴斯基认为Linux系统也有必要经常扫描病毒，并推出了Linux系统下的病毒扫描工具。

卡巴斯基杀毒软件官方已经提供 Kaspersky Virus Removal Tool (KVRT) 下载，这是一个用于查杀Linux电脑里恶意病毒的工具，很快，您就会发现，Linux不需要杀毒软件是一个错误的想法。

最近，卡巴斯基连续发表了关于 XZ Utils 开源软件内含恶意代码的文章，这些恶意代码可以影响到几个主流的Linux系统，包括 XDealer 在内的 DinodasRAT 恶意软件，还有，Free Download Manager 暗含后门程序等等。

针对这些Linux系统安全问题，卡巴斯基杀毒软件官方已经提供了一个程序来解决，该程序不会主动阻止这些木马等恶意软件的入侵，但可以查杀并清理，并且，它无法自动更新，所以，以后要用到这款Linux系统杀毒软件的话，需要重新去卡巴斯基杀毒软件官网下载最新版。

作者
Author: anson 时间: 2024-6-11 11:22
联网的机器还是有这个需要的之前组里的机器莫名其妙就被黑了植入挖矿程序，怎么kill都没有用的那种

作者
Author: abin 时间: 2024-6-11 12:06
先想办法, “挡在外面”.

不让入侵者登录到机器, 他们就没啥机会了.

比如采用非标准端口+SSH密钥登录+禁止root登录, 基本就安全了.

当然, 如果你使用微软通过各种协议访问Linux, 请管理好微软的密码以及各客户端的密码加密.

我碰到的GPU被挖矿, 都是从微软突破的.
比如, 微软远程桌面弱密码, SSH客户端虽然是密钥登录, 还不是长驱直入?!!!

如果仅仅使用Linux作为自己的操作系统, 关闭SSH密码登录, 禁止root远程登录; 使用复杂密码, 合理管制sudo权限.

如果使用微软+Linux服务器, 管理好微软安全设定, Linux采用带有密码校验的SSH密钥登录.

计算用的服务器, 当然是放在物理隔离的安全内网.

自己作为单机使用的Linux系统, Debian系列, 开启AppArmor; RHEL系列开启SELinux.

如果感觉以上措施依旧无法满足需求,
那么你需要部署硬件安全设备, 包括但不限于入侵检测, 防火墙, 堡垒机等等.

作者
Author: smooth85 时间: 2024-6-12 11:43

anson 发表于 2024-6-11 11:22
联网的机器还是有这个需要的之前组里的机器莫名其妙就被黑了植入挖矿程序，怎么kill都没有用的那种

这种一般是木马，需要找到对应的进程，然后删去原始可执行文件才可以

作者
Author: Uus/pMeC6H4-/キ 时间: 2024-6-12 17:12
前几天刚看到一篇知乎文章，介绍了一起服务器被挖矿的情况处置，大概有些参考价值。

作者
Author: lizhiguo-TJU 时间: 2024-6-24 14:09
需要杀毒，不然容易被挖矿

作者
Author: lizhg_cn 时间: 2024-6-25 10:13
是这样的，Linux上需要杀毒，在我本科的时候，做药物设计学实验时，想要拷贝一个文件但没有root权限无法挂载U盘，就用了一个cve获得了root权限。作为一个曾经的CTFer，有以下几点经验可以与大家分享
1. 由于绝大多数情况下，访问Linux是通过ssh的方法。换端口的方法只能筛掉无脑用现成脚本的攻击，稍微增加一个前置脚本就完全无效了。更好的方法是采用“端口敲门”的方法，但可能需要对于新人进行额外的登录培训
2. 如果用的不是像redhat这种有公司提供服务的linux，那就不要抱着某一个LTS版本linux用很久！！站内很多人仍然用着由4.x的gcc编译的内核，由于内核版本与gcc版本高度相关，4.x的gcc对应的内核大概已经超过支持周期，存在很多1day或者nday漏洞，就算用了端口敲门技术，也不代表没有其他的被攻破的方法。尽可能用最新版本的LTS的Linux，定期打补丁，可以避免这个问题
3. 在cpu/gpu长时间高占用率时，记录对应的可执行文件名称，定期查看日志
可能还有一些方法，但一时半会记不清楚，容我想到了再补充

欢迎光临计算化学公社 (http://bbs.keinsci.com/)