Linux 系统是否需要针对勒索软件的防病毒软件?

信息安全 linux 杀毒软件 勒索软件
2021-09-04 18:00:22

我使用 Linux 为我的团队存储私人数据和备份,因为据说 Linux 本身对恶意软件非常安全,并且不需要防病毒软件。

但现在随着勒索软件的传播并开始影响运行 Windows 的商业 PC,因此不久之后就会发布新的勒索软件变体,或者可能已经有可能影响 Linux 系统的勒索软件。

我不想冒我们的数据被勒索软件加密的风险,只是为了比特币。Linux 系统现在是否需要防病毒软件来抵御这种威胁?

4个回答

这个问题实际上有多个部分:

  1. Linux 是否受到恶意软件,尤其是勒索软件的影响?
  2. 是否存在适用于 Linux 的防病毒产品?
  3. 这些产品是否有助于抵御这种威胁?

回答第一个:
是的,Linux 有恶意软件,也有勒索软件。目前它的传播方式通常与 Windows 不同:Windows 上的恶意软件主要通过网络钓鱼邮件和网络传播,并利用平台特定的漏洞和功能,即目前主要是 windows 脚本主机、office 文档中的宏和 Office 中的漏洞。相反,在 Linux 系统上,它通常是通过攻击服务器来安装的,通常是使用 Wordpress 和其他 CMS 中的安全问题。但这主要是因为Linux的服务器使用量很大,而桌面使用仍然很少。以类似于 Windows 的方式传播勒索软件所需的功能和漏洞在 Linux 上也经常存在,尽管一些差异(如需要显式设置可执行文件的权限)使一些漏洞利用更加困难。

至于第二个,即Linux 的杀毒产品:
既有免费的ClamAV产品,也有商业产品。

最后,这些防病毒软件是否有助于抵御针对 Linux 的恶意软件/勒索软件?
他们大多没有。这些防病毒产品主要关心防止针对 Windows 的攻击,通常用于扫描可能提供给 Windows 系统的文件或邮件。因此,它们例如在邮件服务器或文件服务器上以及在 Web 服务器上很有用,以确保服务器不用于传播恶意软件。但它们甚至不能完全防御针对 Windows 的攻击。他们可能在其中包含一些代码来检测一些众所周知的(有时只是概念证明)针对 Linux 的恶意软件,但它们无法防御新事物。还有一些产品可以扫描现有系统受损的痕迹,有时这些产品被称为防病毒软件,但通常不是。

防止数据操纵的最佳方法是备份到提供仅附加存储的机器上。

最简单的例子是日志文件服务器——你可以通过一个串行链接发送数据,它会被加上时间戳并存储;系统不会另外解释数据,并且串行链路上没有命令接口。

对于完整备份,我会使用一台机器连接到其他机器,主动获取当前状态并直接存档,可能会使用早期版本进行重复数据删除。客户端无法以任何方式联系此系统,所有 TCP 端口都从外部关闭。

这个系统有一个很好的优势,它不仅可以提供早期版本,还可以用来检测操纵——恶意软件作者可以选择将恶意软件隐藏在这个系统中(这样你就有了一个干净的备份),或者包括它(它允许在备份服务器上运行的防病毒系统发现它)。

Linux 是安全的,但并不完美。

Linux 恶意软件存在并且有一个例子:WordPress-Delivered Ransomware 和 Hacked Linux Distributions女巫描述了如何通过利用程序漏洞来感染 linux 机器被勒索软件感染。

它是如何工作的?

通过任何可用的方法入侵 WordPress 网站。这可能是暴力密码猜测攻击或利用插件、主题或核心中的漏洞。

攻击者在 WordPress 网站上安装代码,将访问者重定向到其他运行核攻击工具包的受感染网站。重定向可能会通过一系列网站发生,以试图阻止网络浏览器和 Google 警告您某个网站已被感染。重定向中涉及的站点经常更改。

当访问受感染站点的访问者被重定向时,核攻击工具包会搜索站点访问者的 Flash 插件、Microsoft Silverlight、Adobe Reader 或 Internet Explorer 中的漏洞。

如果 Nuclear 发现漏洞,它会利用访问者机器并安装 TeslaCrypt 勒索软件。

然后,勒索软件会加密工作站上的所有文件,并勒索所有者付费以解密其系统。

第二个例子:Dr.Web发现的Linux.Encoder.1

为什么linux下不需要杀毒程序?

因为您从受信任的存储库安装程序,并且您的系统经常更新以修补程序缺陷

使用开源软件,源代码可供所有人使用,并且可以由专家和开发人员进行测试和修补。

为什么需要防病毒软件?

防病毒软件很有用:

  • 扫描电子邮件中的病毒。

  • 如果你已经wine在你的系统上安装了运行你收藏的 windows 软件。

  • 如果您的网络上有一台 Windows 机器。

  • 扫描 Windows 硬盘驱动器。

  • 在将文件发送到 Windows 机器之前对其进行扫描。

在任何操作系统上击败勒索软件的简单方法是定期更新备份。

此答案特定于您的场景,通常不适用于每个 Linux 系统:

您的设置中不需要防病毒保护。如果它能让你睡得更好,你可以添加它,但它不太可能以任何可观的方式提高你的安全性。

您的系统本质上是一个文件存储。除非您没有提及有关系统的重要细节,否则它没有外部攻击面(即,它没有连接到 Internet,不运行任何其他服务,也不被任何人用作桌面或工作机器)。

我看不到恶意软件在这台机器上执行的现实方法。是的,您的文件共享服务可能存在漏洞,但恶意软件必须首先感染网络上的另一台计算机,然后攻击该漏洞,虽然并非不可能,但似乎不太可能。

此外,如果您正在考虑可靠的备份解决方案,我相信您会保留辅助异地备份。在将其运送到异地之前,通过回读测试确保该辅助备份的可读性,即使您的备份服务器出现问题,您也可以简单地擦除它并获取异地备份。

其它你可能感兴趣的问题
上一篇如何判断你是否被 ARP 中毒? 下一篇ISO27001 和 Linux/Ubuntu