Wie man virusartiges Verhalten unter Linux verhindert

Wenn Sie auf einem Linux-Rechner unvorhersehbares Verhalten feststellen, leiden Sie höchstwahrscheinlich unter einem Konfigurations- oder Hardwareproblem. Seltsame Ereignisse hängen gewöhnlich mit diesen beiden Bedingungen zusammen. Einige Grafikkarten funktionieren nicht ohne die Installation von proprietärer Software und sehen ansonsten komisch aus. Möglicherweise haben Sie auch Daten aufgrund eines nicht übereinstimmenden Dateisystems oder einer anderen ungewöhnlichen Datei verloren. Dennoch könnte es verlockend sein, solche Probleme auf einen Virus zurückzuführen.

Virus ist ein Begriff, den viele Menschen fälschlicherweise für alle Arten von Malware verwenden. Wahre Virusinfektionen sind unter Linux außergewöhnlich selten. Denken Sie daran, dass GNU / Linux nicht die beliebteste Plattform für Consumer-Maschinen ist. Relativ wenige Bedrohungen zielen auf Heimbenutzer von Linux ab. Server sind weitaus attraktiver, obwohl es für die auf Smartphones und Tablets verwendeten Google Android-Distributionen einige Bedrohungen gibt. Stellen Sie immer sicher, dass Sie andere Möglichkeiten ausschließen, bevor Sie in Panik geraten. Linux-Schwachstellen sind oft esoterischer als Virusinfektionen. Sie sind oft mehr wie Exploits. Behalten Sie diese Hinweise im Hinterkopf und Sie werden sich nicht mit ernsthaften Problemen auseinandersetzen müssen. Bitte denken Sie daran, dass die hier besprochenen Befehle extrem gefährlich sind und nicht verwendet werden sollten. Wir sagen Ihnen nur, worauf Sie achten sollten. Während wir dabei ein paar Screenshots gemacht haben, haben wir tatsächlich eine virtuelle Maschine für diesen Zweck verwendet und keinen Schaden an einer echten Dateistruktur angerichtet.

Methode 1: Verhindern von Zip-Bomben

Zip-Bomben sind besonders problematisch, weil sie Probleme für alle Probleme gleichermaßen verursachen. Diese nutzen nicht das Betriebssystem aus, sondern die Art, wie Datei-Archiver funktionieren. Ein Zip-Bomb-Exploit, der in den 1980er Jahren MS-DOS-Computern Schaden zufügte, könnte in 10 Jahren immer noch genau das gleiche Problem für ein Android-Smartphone verursachen.

Nehmen Sie zum Beispiel das berüchtigte 42.zip komprimierte Verzeichnis. Während es 42.zip klassisch heißt, da es 42 Kilobyte Speicherplatz benötigt, könnte ein Witzbold es so nennen, wie es ihm gefällt. Das Archiv enthält fünf verschiedene Ebenen verschachtelter Archive, die in Gruppen von 16 organisiert sind. Jede dieser Ebenen enthält eine unterste Ebene, die ungefähr 3, 99 Binär-Gigabyte Null-Zeichen enthält. Dies sind die gleichen Junk-Daten, die unter Linux aus der Device-Datei / dev / null stammen, sowie das NUL-Gerät in MS-DOS und Microsoft Windows. Da alle Zeichen null sind, können sie extrem komprimiert werden und machen somit eine sehr kleine Datei in dem Prozess.

Alle diese Nulldaten zusammen benötigen ungefähr 3, 99 Binärpetabyte an Speicherplatz, wenn sie dekomprimiert werden. Dies reicht aus, um sogar eine RAID-Dateistruktur abzulegen. Entpacke niemals Archive, von denen du nicht sicher bist, dass sie dieses Problem verhindern.

Sollte dies jedoch jemals passieren, starten Sie Ihr System von einer Linux Live-CD, microSDHC-Karte oder einem USB-Stick neu und löschen Sie die überschüssigen Null-Dateien. Starten Sie dann erneut von Ihrem Hauptdateisystem aus. Die Daten selbst sind normalerweise nicht schädlich. Dieser Exploit nutzt nur die Tatsache aus, dass die meisten Dateistrukturen und RAM-Konfigurationen nicht so viele Daten gleichzeitig speichern können.

Methode 2: Command Trick Exploits

Führen Sie niemals einen Bash- oder Tcsh-Befehl aus, wenn Sie nicht genau wissen, was genau das ist. Manche Leute versuchen, neue Linux-Benutzer dazu zu bringen, etwas auszuführen, das ihrem System schadet. Selbst erfahrene Benutzer können durch sehr schlaue Scherzkünstler, die bestimmte Arten von gefährlichen Befehlen verfassen, durcheinander gebracht werden. Die häufigsten davon sind Gabelbomben. Diese Art von Exploit definiert eine Funktion, die sich dann selbst aufruft. Jeder neu erzeugte Child-Prozess ruft sich selbst auf, bis das gesamte System abstürzt und neu gestartet werden muss.

Wenn dich jemand bittet, etwas Absurdes zu tun, wie: () {: |: &};, dann beleidigen sie dich und versuchen dich dazu zu bringen, deine Maschine zum Absturz zu bringen. Immer mehr Linux-Distributionen haben nun Schutz dagegen. Einige sagen Ihnen, dass Sie einen Prozess auf eine ungültige Weise definieren.

PRO TIPP: Wenn das Problem bei Ihrem Computer oder Laptop / Notebook auftritt, sollten Sie versuchen, die Reimage Plus Software zu verwenden, die die Repositories durchsuchen und beschädigte und fehlende Dateien ersetzen kann. Dies funktioniert in den meisten Fällen, in denen das Problem aufgrund einer Systembeschädigung auftritt. Sie können Reimage Plus herunterladen, indem Sie hier klicken

Es gibt mindestens eine Testversion von FreeBSD, die eine Beleidigung für jeden Benutzer, der dies versucht, aktiv ausführt, ihnen aber nicht erlaubt, ihr System zu schädigen. Versuchen Sie es nie, um es zu versuchen.

Methode 3: Ungewöhnliche Skripts untersuchen

Jedesmal, wenn Sie eine Python-, Perl-, Bash-, Dash-, tcsh- oder eine andere Art von Skript erhalten, untersuchen Sie es, bevor Sie es versuchen. Schädliche Befehle könnten darin verborgen sein. Suchen Sie nach etwas, das wie ein Haufen Hexadezimalcode aussieht. Zum Beispiel:

\ xff \ xff \ xff \ xff \ x68 \ xdf \ xd0 \ xdf \ xd9 \ x68 \ x8d \ x99 "
\ xdf \ x81 \ x68 \ x8 \ x92 \ xdf \ xd2 \ x54 \ x5e \ xf7 \ x16 \ xf7 "

Diese beiden Zeilen stammen aus einem Skript, das den außergewöhnlich destruktiven Befehl rm -rf / in Hexadezimalcode codiert hat. Wenn Sie nicht wüssten, was Sie getan haben, hätten Sie Ihre gesamte Installation und möglicherweise auch ein UEFI-Boot-System problemlos zappen können.

Suchen Sie nach Befehlen, die oberflächlich harmlos erscheinen, aber potenziell schädlich sind. Sie sind möglicherweise damit vertraut, wie Sie mit dem Symbol> die Ausgabe von einem Befehl in einen anderen umleiten können. Wenn Sie etwas wie das Weiterleiten in etwas sehen, das / dev / sda oder / dev / sdb heißt, dann ist das ein Versuch, Daten in einem Volume durch Müll zu ersetzen. Das willst du nicht machen.

Eine andere, die Sie sehr oft sehen werden, ist ein Befehl, der ungefähr so lautet:

mv / bin / * / dev / null

Die Device-Datei / dev / null ist nichts weiter als ein Bit-Bucket. Es ist ein Punkt ohne Rückgabe von Daten. Dieser Befehl verschiebt den Inhalt des Verzeichnisses / bin nach / dev / null, wodurch alles darin entfernt wird. Da dies einen root-Zugriff erfordert, schreiben einige schlaue Prankster stattdessen etwas wie mv ~ / * / dev / null, da dies dasselbe für ein Benutzerverzeichnis tut, aber ohne besonderen Zugriff. Bestimmte Distributionen geben jetzt Fehlermeldungen zurück, wenn Sie dies versuchen:

Achten Sie genau auf alles, was die Befehle dd oder mkfs.ext3 oder mkfs.vfat verwendet . Diese formatieren ein Laufwerk und sehen relativ normal aus.

Bitte beachten Sie, dass Sie niemals einen dieser Befehle in einem Live-Dateisystem ausführen sollten. Wir sagen Ihnen nur, worauf Sie achten sollten, und wir wollen nicht, dass jemand auf seine Daten anstößt. Seien Sie vorsichtig und stellen Sie sicher, dass Sie wissen, was Sie tun, bevor Sie eine externe Datei verwenden.