Come rilevare e rimuovere un trojan Linux?

Di recente (ri) mi sono imbattuto in questo: Linux Trojan passa inosservato per quasi un anno (Unreal IRCd)

Sì, so che l'aggiunta di alcuni software / PPA casuali da una fonte non attendibile richiede problemi (o peggio). Non lo faccio mai, ma molti lo fanno (molti blog e tabloid Linux promuovono l'aggiunta di PPA per app fantasiose, senza preavviso che potrebbe danneggiare il sistema o, peggio ancora, compromettere la sicurezza.)

Come si può rilevare e rimuovere un cavallo di Troia o un'applicazione / script canaglia?

È sempre un gioco di gatto e topo con software di rilevamento. Viene creato nuovo malware, gli scanner vengono aggiornati per rilevarlo. C'è sempre un ritardo tra i due. Esistono programmi che utilizzano l'euristica che osserva ciò che il software sta facendo e tenta di catturare attività indesiderate, ma a mio avviso non è una soluzione perfetta e utilizza risorse.

Il mio consiglio è semplice, non installare software da fonti di cui non ti fidi ma se sei come me e non riesci a evitare la tentazione, inseriscili in una macchina virtuale (cioè virtualbox) e gioca fino a quando non sei sicuro non bloccherà il tuo sistema né farà cose che non volevi.

Ancora una volta, non una soluzione perfetta, ma per ora, una macchina virtuale ha le migliori possibilità di isolare la tua macchina da indesiderate.

La maggior parte dei software anti-malware per Linux / Unix cerca semplicemente malware Windows. Le occorrenze di malware Linux sono state generalmente molto limitate, anche nei casi in cui gli aggiornamenti di sicurezza sono lenti o non arrivano.

Fondamentalmente, utilizzi solo software di cui ti fidi e aggiorni quotidianamente, è così che stai al sicuro.

Un'altra risposta ha detto: "È sempre un gioco di gatto e topo con software di rilevamento".
Non sono d'accordo.

Questo è vero per gli approcci che si basano su firme o euristica per rilevare malware.
Ma esiste un altro modo per rilevare malware: verifica prodotti noti :

• Tripwire , AIDE , ecc. Possono verificare i file sul disco.
  

• Second Look può verificare il kernel e i processi in esecuzione.
  Second Look utilizza la memoria forense per ispezionare direttamente il sistema operativo, i servizi attivi e le applicazioni.
  Confronta il codice in memoria con ciò che è stato rilasciato dal fornitore di distribuzione Linux. In questo modo è possibile individuare immediatamente le modifiche dannose apportate da rootkit e backdoor e programmi non autorizzati (trojan, ecc.).

(Divulgazione: sono lo sviluppatore principale di Second Look.)

Kaspersky e avg hanno entrambe le soluzioni che offrono e McAfee ne ha una per Red Hat che potrebbe essere disponibile su Ubuntu. avg è qui: http://free.avg.com/us-en/download

Potresti trovare questo articolo interessante: http://math-www.uni-paderborn.de/~axel/bliss/

Ho la mentalità che se hai eseguito qualcosa come root di cui ti preoccupi in seguito, probabilmente dovresti reinstallare. tutti i file trasferiti dovrebbero probabilmente essere rimossi anche il bit eseguibile 'chmod ugo -x'

Puoi anche provare ClamAV dal centro software