나는 친구가 Fedora 운영 체제를 사용하여 시스템을 관리하도록 돕습니다. 그들은 트로이 목마 등의 존재를 언급하는 알림이 강조 표시되고 있다고 보고해 왔으며 이에 충격을 받았습니다. 나는 일반적으로 Selinux를 활성화하고 이러한 장치에 방화벽을 설정했기 때문에 심각한 문제가 아니라고 가정합니다. 모든 장치는 라우터 뒤에 있습니다. clamav, rkhunter, , 등 몇 가지 앱을 내 기기에 설치 하고 chkrootkit실행하기로 결정했습니다. 둘 다 화려한 것을 rkhunter보여주지 는 않지만 거기에 있습니다. 참고로 그 중 일부를 나열했습니다.chkrootkitclamav
Found 76 possible threats (224741 files scanned).
/home/me/.mozilla/firefox/b9w9hqme.default-1635637832461 /extensions/[email protected] PUA.Win.Trojan.Xored-1
/home/me/.mozilla/icecat/h2020a74.default/extensions/[email protected] PUA.Win.Trojan.Xored-1
/home/me/.cache/mozilla/firefox/b9w9hqme.default-1635637832461/cache2/entries/7B869B1E4FEB0079533855B292DEDC9F049750CD PUA.Win.Trojan.Xored-1
/home/me/.cache/mozilla/firefox/b9w9hqme.default-1635637832461/cache2/entries/6BA4FE386CA8001456C08ADCC0D8047E35A2BD77 PUA.Win.Exploit.CVE_2012_1461-1
....................
/home/me/.cache/microsoft-edge-beta/Default/Cache/Cache_Data/c6dd4acd03fcf165_0 PUA.Win.Trojan.Xored-1
/home/me/.cache/microsoft-edge-beta/Default/Cache/Cache_Data/16fb8756c668ad8b_0 PUA.Win.Trojan.Xored-1
......................
/home/me/.config/google-chrome/Default/Extensions/hdokiejnpimakedhajhdlcegeplioahd/4.123.0.2_0/oidc-client.min.js PUA.Win.Trojan.Xored-1
/home/me/.config/google-chrome/Default/Extensions/hdokiejnpimakedhajhdlcegeplioahd/4.123.0.2_0/lpfulllib.js PUA.Win.Trojan.Xored-1
Klamav는 지나치게 열성적인가요, 아니면 실제로 격리되어야합니까? 로버트
답변1
나는 일반적으로 Selinux를 활성화하고 이러한 장치에 방화벽을 설정했기 때문에 심각한 문제가 아니라고 가정합니다.
당신이 무엇에 근거하여 자신감을 갖고 있는지 잘 모르겠습니다. 이것은 옳지 않다.
경고가 사용자 홈 디렉터리의 파일에 영향을 미치고 따라서 여러 브라우저에 영향을 미친다는 사실이 로그에서 명확하게 확인됩니다. 문제가 실제로 악성 코드로 판명되면 게임이 종료됩니다. 보안 조치가 실패했거나 적용되지 않았습니다. 이 경우에는 사용자가 설치한 브라우저 확장 프로그램이므로 적용되지 않았습니다. 사용자가 직접 설치할 수 있을 것으로 기대했기 때문에 이를 방지할 수 있는 범용 SELinux 메커니즘이 없었습니다.
SELinux는 고정 기능 프로그램이 액세스해서는 안 되는 데이터 및 기능에 액세스하는 것을 방지하도록 설계되었습니다. 그러나 이는 실패했습니다.
다시,만약에이는 악성 코드이며 친구의 모든 사용자 데이터가 손상된 것으로 간주됩니다. 이러한 브라우저 중 하나에 입력하는 모든 내용이 손상될 수 있습니다.
이러한 경고는 바이러스가 아닌 "PUA" 또는 잠재적으로 원치 않는 응용 프로그램에 대한 경고입니다.
Klamav는 지나치게 열성적인가요, 아니면 실제로 격리되어야합니까?
PUA를 명시적으로 확인하고 있는 것 같습니다. 따라서 ClamAV가 지나치게 열성적인 것은 아니지만 사용자들은 "아, 악성 코드인지 모르는 것들을 검사해 주세요. 그러나 이러한 것들이 악성 코드에 사용될 수 있다는 가능성을 배제할 수 없습니다"라고 분명히 말하고 있습니다. 이는 매우 광범위한 범주이므로 오탐(false positive)이 많이 발생할 수 있습니다. 나는 귀하의 특정 경고를 고려하는 방법에 대한 조언을 제공하지 않을 것입니다.
그들을 고립시키다
"격리 파일"은 내 인생에서 결코 의미가 없습니다. 파일이 감염되었거나 모든 합리적인 수단으로 제거되었거나 감염되지 않았습니다.
파일이 소프트웨어 설치의 일부인 경우 해당 파일을 이동하거나 액세스할 수 없게 만들거나 삭제하면 소프트웨어가 손상될 수 있습니다. 그래서 "아, 바이러스를 발견했지만 원래 위치에서 바이러스를 옮기기만 하면 사용자가 이전처럼 계속 작업할 수 있다"는 생각 자체가 이상합니다. 이 경우 이러한 파일을 "격리", 삭제 또는 기타 방법으로 제거하면 브라우저에서 영향을 받는 확장 프로그램을 로드할 수 없거나 단순히 잘못 작동하거나 작동이 중단될 수 있다는 메시지가 표시될 수 있습니다. 정말 훌륭한 솔루션입니다.
솔직히 바이러스 백신은 최후의 수단입니다. 감염된 파일이 시스템에 나타나면 전체 시스템을 지우고 사기를 당한 중요한 데이터를 다시 설치하고 복원해야 하며 지금부터는 이것이 피해 통제일 뿐입니다. 다단계 인증 구성표의 일부가 아닌 이 컴퓨터에서 수행되는 모든 로그인 또는 저장된 로그인 자격 증명의 경우 나중에 비밀번호를 변경해야 합니다. 다단계 인증 여부에 관계없이 기존 세션을 모두 닫아야 합니다.
시스템이 손상되었으며 바이러스 백신 소프트웨어를 통해 그 사실을 알게 되었습니다. 이는 예방 조치가 아니라 진단일 뿐입니다.
다시 한 번 말씀드리지만 ClamAV는 악성 코드를 발견했다고 주장하지 않습니다. 잠재적으로 악성 코드를 구현하는 데 사용될 수 있는 파일 기능이 있을 수 있다고 생각되는 것을 발견했다고 말했습니다.