Linux上的杀毒软件现状
2015-03-11 13:37:50 
阿炯
在360安全卫士 for Linux瞬间更名为360安全卫士国产系统专版。紧接着不久,Dr.Web 宣布发现一款可能源自 ChinaZ 的 Linux 系统的后门程序。加之又被朝内媒体炒作起来的 OpenSSL 基金会事宜,不由得思绪飘溢,再看看 Linux 平台上的杀毒软件。开源尚存,商业已死
如果您是本站的老读者的话,或许还记得这篇发表在 2008 年的文章:三款 Linux 下的免费桌面级杀毒软件。既然是回顾,就从那里开始好了。
小红伞 Avira 已经全线停止了对 Linux 平台的支持,其中现有的付费企业用户支持将于 2016 年结束。网站上已经找不到其面向个人用户的免费版本了。
Avast! 亦停止了对 Linux 桌面版的支持,在其网站上仅能找到针对 Linux 企业用户的支持,适用于家庭用户的免费版本不见踪影了。
开源方案ClamAV及其图形前端 ClamTK 当然还活着,开发还相当活跃。
略微惊讶中,有查找了其他面对个人用户的商业免费方案:
AVG for Linux 不见踪影,从主页的下载区域完全消失。
F-PROT仍在下载中心里提供一个基本的 32 位命令行扫描工具。不过通过一般的主页浏览产品时已经看不到了,恐怕也是近乎停滞的状态。
Comodo Antivirus for Linux貌似还活着,提供了针对不同发行版的 32 位及 64 位版本二进制包。不过貌似主程序已经停止更新一段时间了,需要借助社区修改的驱动模块才能在新近内核上正常启动全部服务。
针对桌面用户的付费方案中:
Panda DesktopSecure for Linux貌似还在提供免费 Beta 试用,但是购买链接已经失效。
ESET® NOD32®至少还存活着,借助其在中国区的淘宝店铺,应该还可以在短暂的试用期结束后使用序列号激活,228 软妹币可用三年六个月。遗憾的是,它依然要求禁用 SELinux。
Bitdefender 在商业用户类型中中提供包含 GUI 的 Linux 版本,允许申请个人免费试用。根据其尚能访问的软件仓库来看,最后一次主程序更新是 2010 年。
除了开源软件以外,商业解决方案处于衰败状态。
危险将至,盾在何方
毫无疑问,继承自 Unix 系的用户权限管理体系使得 Linux 在用于桌面环境加权不少。由于权限的限定,就算单一用户被感染了,也不会影响其他用户或者系统的工作。
此外,还有诸如 SELinux 和 AppArmor 等强制访问控制机制,启用后系统在面对 0-day 安全漏洞时也可以做到比较有效的风险控制,增加了借助单一服务安全漏洞渗透整个系统的难度。
针对 Linux 桌面的杀毒软件方案的衰落,难道就意味着 Linux 桌面安全无比了么?
个人看法:完全不是。
用户权限设计和 MAC 访问控制机制的设计初衷都是保护操作系统及其上服务的安全性,用户群体是系统管理员,降低系统及服务重新配置的工作量。
但是对于普通桌面用户来讲,重要的不是搭载系统的/根分区,而是搭载用户数据的$HOME。 而这方面,恰好是系统内建管理机制和访问控制系统做不到的地方。
此外相比收过训练的系统管理员,普通桌面用户安全意识更低,容易受到定向攻击。简单一个假想例子:
一个用户态的 Bash 脚本,其中混杂了一句 rm-rf $XDG_PICTURES_DIR
在面向诸如麒麟、Deepin 等用户的发行版论坛上,以热点问题发布“教学贴”,比如“CrossOver 注册机,亲试有效”;在“教学贴”中指导用户如何下载,如何给点击 Bash 脚本时增加可执行权限,如何执行云云;之后用户默认存放照片的目录就没了……系统照样运作,没有越权,不会触发警报……
更复杂的些,上面这个方法还可以针对浏览器配置文件目录进行注入,配合“教学贴”让初学用户忽略浏览器自身的完整性警告或者插件安全提醒。之后能干的事情就多了……
以上能成功,其实就是利用了当前的三个现状:
由于推行所谓的国产操作系统,大量初学用户涌入,信息及知识上的不对等,会导致不经筛选的相信所谓的高手。
Linux 系统已有的安全机制侧重于保护系统及服务,而非用户数据。
从 Win 平台迁移来的用户,太过于依赖安全软件的“一揽子”式安全保护,本身安全意识异常薄弱。
可惜的是,似乎当下 Linux 平台的杀毒软件似乎没有哪个能做到类似 Windows 下同类产品的“一揽子”式保护。普通 Linux 桌面用户,风险犹存。
有市场吗?
在之前查询 Linux 商业免费杀毒软件时,注意到几乎这些商业软件都提供了针对 OS X 平台的产品。由于个人并未使用过近期的 OS X 产品,不过似乎水果厂对于安全也是做了不少改善,包括限定软件安装来源等。不过其中有多少方案可以在崇尚开源且自由的 Linux 桌面借鉴,不好说。而这波针对 OS X 的杀毒软件,是不是也是类似当年 Linux 桌面的昙花一现,暂且观望吧。
不过 Linux 桌面在安全方面也不是停滞不前,基于 KDBUS、Wayland、SELinux、cgroups 等的 GNOME Sandbox 应用正在开发,能不能实现期望中的更安全的应用、更简便的开发,在接下来的 GNOME 3.16 版本,就有可能初步体验下了。
至少我来看,市场是有的,就看是谁来填了。
本文源自:opinion-antivirus-in-linux
Linux"天生安全"认知还可靠吗-2024年150万新型病毒说
很多人普遍认为 Linux 系统是“安全的堡垒”,不存在恶意软件,因此无需安装防病毒软件。然而,这种观点存在很大的偏差。虽然 Linux 系统由于其独特的权限管理和架构设计,使攻击难度相较于 Windows 更高,但这并不意味着其完全免疫恶意软件。在某些场景下,例如服务器、虚拟机和云环境,Linux 系统已经成为攻击者的目标之一。本节将通过数据和恶意软件类型的说明,帮助理解在 Linux 环境中安装防病毒软件的必要性,并介绍如何使用 LMD(Linux Malware Detect)和 ClamAV 进行防护。
数据证明:Linux 安装防病毒软件的必要性
以下是一些数据,揭示了 Linux 系统面临的潜在威胁:
1、恶意软件与攻击案例的快速增长
根据 AV-Test Institute 的统计,2023 年新增了超过 150 万种针对 Linux 的恶意软件变种。虽然这一数字远低于 Windows,但其增长速度表明 Linux 系统正在成为威胁目标。
云安全公司 Sophos 的报告指出,针对 Linux 系统的勒索软件攻击在 2023 年增长了 75%,其中 RansomEXX 和 DarkRadiation 是常见的攻击工具。
2、攻击者偏爱 Linux 服务器
由于 Linux 系统广泛用于企业服务器、虚拟机和云计算环境,其高价值数据吸引了攻击者。例如,Mirai 僵尸网络和 XorDdos 等恶意软件经常利用 Linux 系统进行分布式拒绝服务(DDoS)攻击。
Kaspersky 的一项调查显示,Linux 系统在 APT(高级持续性威胁)攻击中占据显著比例,例如 HiddenWasp 和 Drovorub 都是专门针对 Linux 的恶意软件。
3、管理者的误区与防护不足
一些系统管理员错误地认为 Linux 系统“天然安全”,忽视了定期的安全加固与防病毒措施,导致系统成为攻击者的跳板。例如,未修补的漏洞和错误配置被频繁利用。
Linux 的常见病毒和恶意软件类型
尽管 Linux 系统的威胁面相较 Windows 较小,但它并不是完全免疫的。以下是几种常见的 Linux 恶意软件类型:
1、勒索软件(Ransomware)
DarkRadiation:专门针对 Linux 系统的勒索软件,使用 SSH 凭据传播,并通过加密数据索要赎金。
RansomEXX:一种跨平台的勒索软件,针对企业服务器,利用漏洞入侵并加密关键数据。
2、后门程序(Backdoors)
HiddenWasp:一种高级后门工具,允许攻击者对受感染系统进行完全控制,常被用于间谍活动。
FreakOut:利用未修补的漏洞,在 Linux 系统中创建后门以便进行远程访问。
3、僵尸网络(Botnets)
Mirai:一个著名的僵尸网络,专门利用 Linux 系统中的物联网设备进行 DDoS 攻击。
XorDdos:通过 SSH 暴力破解传播,用于构建大规模僵尸网络。
4、挖矿恶意软件(Cryptominers)
Kinsing:一种挖矿恶意软件,通过 Docker 容器漏洞传播,占用系统资源用于加密货币挖矿。
5、木马(Trojans)
Linux.Debian.Encoder:伪装成合法软件的木马,用于窃取用户凭据或破坏系统。
上述恶意软件可能通过漏洞利用、钓鱼邮件、不安全的 SSH 配置或第三方软件包传播。一旦感染,轻则系统性能下降,重则数据泄露或系统瘫痪。
如何安装和配置 LMD(Linux Malware Detect)与 ClamAV
为有效防范恶意软件,我们可以通过安装 LMD 和 ClamAV 来保护 Linux 系统。以下是详细安装步骤。
LMD 的安装与配置
1. 下载并安装 LMD
LMD 是专为 Linux 系统设计的恶意软件检测工具,以下是安装步骤:
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
# tar -xvf maldetect-current.tar.gz
# cd maldetect-1.6.5/
# ./install.sh
安装完成后,LMD 会在 /etc/cron.daily/ 目录中创建一个脚本,用于每天自动执行扫描任务。
2. 配置 LMD
编辑 LMD 配置文件 /usr/local/maldetect/conf.maldet,启用邮件警报和 ClamAV 集成功能:
# vi /usr/local/maldetect/conf.maldet
email_alert="1" # 启用邮件警报
email_addr="your_email@example.com" # 接收警报的邮箱地址
scan_clamscan="1" # 启用 ClamAV 集成
ClamAV 的安装
在 LMD 配置中启用了 ClamAV 杀毒功能。以下是安装步骤:
# yum install epel-release -y
# yum update -y
# yum install clamd -y
安装完成后,确保 ClamAV 服务已启动,并根据需要进行配置。
测试 LMD 和 ClamAV 的效果
为了验证安装和配置是否成功,可以扫描 /var 目录:
# maldet --scan-all /var
或
# maldet -a /var
查看扫描报告:
# maldet --report <report_name>
示例:
# maldet --report 241207-0205.503985
从报告中可以看到扫描结果,例如扫描的文件数量以及是否发现恶意软件。
虽然 Linux 系统相较于其他操作系统具有较高的安全性,但它并非完全免疫恶意软件。在现代网络环境中,攻击者的手法日益复杂多变,Linux 系统逐渐成为其目标之一。这里了解了 Linux 恶意软件的常见类型和威胁,并学习了如何安装和配置 LMD 与 ClamAV 来保护系统。
卡巴斯基发布 “Kaspersky for Linux”
知名杀软厂商卡巴斯基于2025年11月中旬宣布其家用产品线新增支持 Linux 系统的版本 —— Kaspersky for Linux。该公司指出,过去五年内,针对 Linux 操作系统的恶意程序数量增长了约 20 倍(其中包括矿工、勒索软件、嵌入源代码的恶意模块)。
Kaspersky for Linux 能够进行 “AI 驱动” 的病毒扫描,持续监控系统、设备及单个文件,发现并移除恶意程序。软件还会在 USB 等可移动设备连接时自动扫描,能通过行为分析提前识别潜在威胁。此外,产品还集成了反钓鱼模块,能自动警示危险链接,并包含在线支付安全防护功能,确保用户在进行网银交易前网站安全性达标。
该杀毒软件支持主流 64 位 Linux 发行版,提供 DEB 和 RPM 安装包形式,当前适配 Ubuntu、ALT Linux、Uncom 和 RED OS 等系统。在订阅体系方面,卡巴斯基将 Linux 杀毒纳入 “Standard”、“Plus”、“Premium” 三种方案 —— 所有 Linux 功能均一致,区别主要在于可选保护的其他操作系统类型,价格也有所不同。对于仅需保护 Linux 设备的用户,Standard 方案每年售价为 38.99 美元,可申请 30 天免费试用。