Вредоносное ПО для Linux включает вирусы, трояны, черви и другие типы вредоносных программ, которые влияют на Linux операционную систему. Linux, Unix и другие Unix-подобные компьютерные операционные системы обычно считаются очень хорошо защищенными от компьютерных вирусов, но не защищенными от них .
Не было единичный широко распространенный вирус Linux или вредоносное ПО, типичное для Microsoft Windows ; обычно это связано с отсутствием у вредоносного ПО корневого доступа и быстрого обновления большинства уязвимостей Linux.
Как и системы Unix, Linux реализует многопользовательскую среду, в которой пользователям предоставляются определенные привилегии и есть некоторые реализована форма контроля доступа. Чтобы получить контроль над системой Linux или вызвать какие-либо серьезные последствия для самой системы, вредоносная программа должна получить root-доступ к системе.
В прошлом предполагалось, что в Linux было так мало вредоносных программ. потому что его низкая рыночная доля сделала его менее прибыльной целью. Рик Моэн, опытный системный администратор Linux, возражает, что:
[Этот аргумент] игнорирует доминирование Unix в ряде областей, не связанных с настольными компьютерами, включая веб-серверы и научные рабочие станции. Автор вируса / трояна / червя, который успешно нацелен на веб-серверы Apache httpd Linux / x86, будет иметь чрезвычайно богатую целевую среду и мгновенно заработать прочную славу, но этого не происходит.
В 2008 году количество вредоносных программ нацеливание на Linux было отмечено как увеличивающееся. Шейн Курсен, старший технический консультант Лаборатории Касперского, сказал в то время: «Рост вредоносного ПО для Linux просто связан с его растущей популярностью, особенно в качестве операционной системы для настольных ПК... Использование операционной системы система напрямую связана с интересом авторов вредоносных программ к разработке вредоносных программ для этой ОС ».
Том Феррис, исследователь протоколов безопасности, прокомментировал один из отчетов Касперского, заявив:« В сознании людей, если это не Windows, это безопасно, и это не так. Они думают, что никто не пишет вредоносное ПО для Linux или Mac OS X. Но это не обязательно так ».
Некоторые пользователи Linux действительно используют антивирусное ПО на базе Linux для сканирования небезопасных документов и электронной почты, которые приходят от пользователей Windows или отправляются им. Скотт Граннеман из SecurityFocus заявил:
... некоторым машинам Linux определенно требуется антивирусное ПО. Серверы Samba или NFS, например, могут хранить документы в недокументированных уязвимых форматах Microsoft, таких как Word и Excel, которые содержат и распространяют вирусы. Почтовые серверы Linux должны запускать антивирусное программное обеспечение, чтобы нейтрализовать вирусы до того, как они появятся в почтовых ящиках пользователей Outlook и Outlook Express.
Поскольку они преимущественно используются на почтовых серверах, которые могут отправлять почту на компьютеры под управлением других операционных систем, Linux-вирус Сканеры обычно используют определения и сканируют все известные вирусы для всех компьютерных платформ. Например, открытый код ClamAV «Обнаруживает... вирусы, черви и трояны, включая макровирусы Microsoft Office, вредоносное ПО для мобильных устройств и другие угрозы».
Вирусы, перечисленные ниже, представляют потенциальную, хотя и минимальную, угрозу для систем Linux. Если был запущен зараженный двоичный файл, содержащий один из вирусов, система была бы временно заражена, поскольку ядро Linux находится в памяти и доступно только для чтения. Любой уровень заражения будет зависеть от того, какой пользователь с какими привилегиями запускал двоичный файл. Бинарный запуск под учетной записью root может заразить всю систему. Повышение привилегий уязвимости могут позволить вредоносному ПО, работающему под ограниченной учетной записью, заразить всю систему.
Стоит отметить, что это верно для любой вредоносной программы, которая запускается без специальных действий по ограничению ее привилегий. Добавить фрагмент кода в любую программу, которую может загрузить пользователь, и позволить этому дополнительному коду загрузить измененный сервер входа, открытый почтовый ретранслятор или аналогичную программу и запустить этот дополнительный компонент в любое время - тривиально. пользователь входит в систему. Никаких специальных навыков написания вредоносных программ для этого не требуется. Для того, чтобы обманом заставить пользователя запустить программу (троян ), могут потребоваться специальные навыки.
Использование репозиториев программного обеспечения значительно снижает любую угрозу установки вредоносных программ, поскольку репозитории программного обеспечения проверяются специалистами по сопровождению, которые стараются убедиться, что их репозиторий не содержит вредоносных программ. Впоследствии, для обеспечения безопасного распространения программного обеспечения, доступны контрольные суммы. Это позволяет выявить модифицированные версии, которые могли быть введены, например, перехват коммуникаций с помощью атаки типа «злоумышленник в середине» или атаки с перенаправлением, такой как ARP или отравление DNS. Тщательное использование этих цифровых подписей обеспечивает дополнительную линию защиты, которая ограничивает объем атак включением только первоначальных авторов, разработчиков пакетов и выпусков и, возможно, других лиц с подходящим административным доступом, в зависимости от того, как ключи и контрольные суммы обрабатываются. Воспроизводимые сборки могут гарантировать, что исходный код с цифровой подписью был надежно преобразован в двоичное приложение.
Классической угрозой для Unix-подобных систем являются уязвимости в сетевых демонах, таких как SSH и веб-серверы. Их могут использовать черви или для атак на определенные цели. Поскольку при обнаружении уязвимости серверы исправляются довольно быстро, широко распространенных червей было всего несколько. Поскольку определенные цели могут быть атакованы через уязвимость, которая не является публично известной, нет гарантии, что определенная установка безопасна. Кроме того, серверы без таких уязвимостей могут быть успешно атакованы с помощью слабых паролей.
Серверы Linux также могут использоваться вредоносными программами без какой-либо атаки на саму систему, где, например, веб-контент и скрипты недостаточно ограничены или проверены и используются вредоносными программами для атаки посетителей. Некоторые атаки используют сложные вредоносные программы для атаки на серверы Linux, но когда большинство из них получают полный root-доступ, хакеры могут атаковать, изменяя что-либо, например заменяя двоичные файлы или вставляя модули. Это может позволить перенаправить пользователей на другой контент в Интернете. Обычно сценарий CGI, предназначенный для оставления комментариев, может по ошибке разрешить включение кода, использующего уязвимости в веб-браузере.
Старые дистрибутивы Linux были относительно чувствительны к атакам переполнение буфера : если программа не заботилась о размере самого буфера, ядро предоставляло только ограниченные защита, позволяющая злоумышленнику выполнить произвольный код под правами уязвимого приложения, подвергшегося атаке. Программы, которые получают root-доступ даже при запуске пользователем без полномочий root (через бит setuid ), были особенно привлекательны для атак. Однако по состоянию на 2009 год большинство ядер включают рандомизацию разметки адресного пространства (ASLR), улучшенную защиту памяти и другие расширения, что значительно затрудняет организацию таких атак.
В 2007 году была выявлена проблема межплатформенных вирусов, обусловленная популярностью кроссплатформенных приложений. Эта проблема была выдвинута на передний план осведомленности о вредоносных программах благодаря распространению вируса OpenOffice.org под названием Badbunny.
Стюарт Смит из Symantec написал следующее:
What Заслуживает упоминания этот вирус, так как он показывает, насколько легко можно злоупотреблять платформами сценариев, расширяемостью, надстройками, ActiveX и т. д. Слишком часто об этом забывают, пытаясь сопоставить функции с другими поставщиками... Способность вредоносного ПО выживать в кроссплатформенной кросс-прикладной среде имеет особое значение, поскольку все больше и больше вредоносных программ распространяются через веб-сайты. Как скоро кто-то использует что-то подобное, чтобы сбросить заражающий JavaScript на веб-сервер, независимо от платформы?
Как и в случае с любой другой операционной системой, Linux уязвим для вредоносных программ, которые обманывают пользователь может установить его с помощью социальной инженерии. В декабре 2009 года была обнаружена вредоносная заставка с водопадом, содержащая сценарий, который использовал зараженный ПК с Linux в атаках типа «отказ в обслуживании».
Существует ряд доступных антивирусных приложений, которые работают под операционной системой Linux. Большинство этих приложений ищут эксплойты, которые могут повлиять на пользователей Microsoft Windows.
Эти приложения полезны для компьютеров (обычно серверов), которые передают файлы пользователям MS Windows. Они не ищут угрозы, специфичные для Linux.
Эти приложения ищут фактические угрозы компьютерам Linux, на которых они работают.
Вредоносные программы для Linux также могут быть обнаружены (и проанализированы) с помощью инструментов криминалистики памяти, таких как:
Ниже приводится неполный список известных вредоносных программ для Linux. Однако немногие из них, если таковые имеются, находятся в дикой природе, и большинство из них устарели в результате обновлений Linux или никогда не представляли угрозы. Известные вредоносные программы - не единственная или даже самая важная угроза: новые вредоносные программы или атаки, направленные на определенные сайты, могут использовать уязвимости, ранее неизвестные сообществу или неиспользуемые вредоносными программами.