我帮助朋友管理采用 Fedora 操作系统的系统。他们一直报告说,正在突出显示通知,提及木马等的存在,他们对此感到震惊。我通常认为,如果有的话,也没什么严重的,因为我在这些设备上启用了 Selinux 并设置了防火墙。所有单元都位于路由器后面。我决定在我自己的设备上安装一些应用程序,例如clamav
、rkhunter
和chkrootkit
,并进行运行。两者都没有rkhunter
表现chkrootkit
出任何引人注目的东西,但clamav
确实如此。我列出了其中一些内容以供参考:
Found 76 possible threats (224741 files scanned).
/home/me/.mozilla/firefox/b9w9hqme.default-1635637832461 /extensions/[email protected] PUA.Win.Trojan.Xored-1
/home/me/.mozilla/icecat/h2020a74.default/extensions/[email protected] PUA.Win.Trojan.Xored-1
/home/me/.cache/mozilla/firefox/b9w9hqme.default-1635637832461/cache2/entries/7B869B1E4FEB0079533855B292DEDC9F049750CD PUA.Win.Trojan.Xored-1
/home/me/.cache/mozilla/firefox/b9w9hqme.default-1635637832461/cache2/entries/6BA4FE386CA8001456C08ADCC0D8047E35A2BD77 PUA.Win.Exploit.CVE_2012_1461-1
....................
/home/me/.cache/microsoft-edge-beta/Default/Cache/Cache_Data/c6dd4acd03fcf165_0 PUA.Win.Trojan.Xored-1
/home/me/.cache/microsoft-edge-beta/Default/Cache/Cache_Data/16fb8756c668ad8b_0 PUA.Win.Trojan.Xored-1
......................
/home/me/.config/google-chrome/Default/Extensions/hdokiejnpimakedhajhdlcegeplioahd/4.123.0.2_0/oidc-client.min.js PUA.Win.Trojan.Xored-1
/home/me/.config/google-chrome/Default/Extensions/hdokiejnpimakedhajhdlcegeplioahd/4.123.0.2_0/lpfulllib.js PUA.Win.Trojan.Xored-1
克拉马夫是否过于热心,还是应该真正隔离它们?罗伯特
答案1
我通常认为,如果有的话,也没什么严重的,因为我在这些设备上启用了 Selinux 并设置了防火墙。
我不确定你的信心基于什么。这是不对的。
我们在您的日志中清楚地看到,警告会影响用户主目录中的文件,从而影响多个浏览器。如果发现问题确实存在恶意软件,那么游戏就结束了。安全措施已经失败或从未应用。在这种情况下,他们从未应用,因为这是用户安装的浏览器扩展,这是用户希望能够自己安装的东西,因此没有通用的 SELinux 机制可以阻止它们。
SELinux 旨在避免固定功能程序访问不应访问的数据和功能。但这已经失败了。
再次,如果这是恶意软件,您朋友的所有用户数据都将被视为受到损害。他们在这些浏览器之一中输入的所有内容都可能受到损害。
请注意,这些警告是“PUA”,即可能不需要的应用程序,而不是病毒。
克拉马夫是否过于热心,还是应该真正隔离它们?
看来您正在明确检查 PUA。因此,并不是 ClamAV 过于热心,而是用户明确表示“哦,请扫描那些不知道是恶意软件的东西,但我们不能排除这些东西可能被恶意软件使用”。这是一个非常广泛的类别,并且可能存在很多误报。我不会就如何考虑您的具体警告提供建议。
隔离他们
在我的生活中,“隔离文件”从来没有意义。文件要么被感染,要么通过一切明智的手段将其删除,或者没有被感染。
如果该文件是软件安装的一部分,则移动它、使其无法访问或删除它可能会导致软件损坏。因此,“哦,我发现了病毒,但我可以让用户继续像以前一样工作,只需将其移出原来的位置”,这整个想法对我来说很奇怪。在这种情况下,如果您“隔离”、删除或以其他方式删除这些文件,您的浏览器可能会告诉您它无法加载受影响的扩展,或者只是行为不正确,或者崩溃。非常棒的解决方案,真的。
说实话,防病毒确实是最后的手段。当受感染的文件出现在您的系统上时,就需要擦除整个系统,重新安装并从备份中恢复有价值的数据;你已经被骗了,从现在开始只有损害控制。对于不属于多因素身份验证方案的该计算机上完成的每个登录或存储的登录凭据,您需要在之后更改密码。无论您是否具有多重身份验证,您都需要关闭所有现有会话。
您的系统遭到入侵,您是通过防病毒软件事后了解到的。这不是预防措施,只是诊断。
再次注意,ClamAV 并未声称发现了恶意软件。它表示,它发现了一些它认为可能具有文件功能的东西,这些功能可能会被用来潜在地实施恶意软件。