Ubuntu 中的远程访问木马？

Question

介绍

你好，我对 Ubuntu 有点陌生，但我已经从 Windows 切换到它，因为我听说过去几个月它更安全，更无病毒，我读了很多关于计算机病毒的书，这可能让我有点更偏执。

问题

我们都知道 Linux 更无病毒，但它仍然包含一些病毒，但是获得远程访问特洛伊木马 (RAT)的机会有多少我已经多次注意到，当我离开房间一段时间时，另一个窗口/程序我没有't touch 被打开，因为我的电脑包含很多源代码，如果发生这样的事情，我会认为它是“我的生命终结”

附加信息

• 我在系统安装后立即从我的机器上卸载了 VNC (vino)

• 我没有从互联网上下载任何未知的东西，只有一些使用官方软件包的知名程序 apt-get install

• 我没有访问过任何不确定的网站（我的 ubuntu 仅用于编程）

• 我每天早上都使用 ClamAV 扫描工具 clamscan -r --bell -i /

• 我还使用 rkhunter 来扫描可能的 rootkit - 什么也没找到

我已经听说过解决方案，但我还没有真正测试过它们

• 使用wireshark监控流量（我不使用这个工具经历，我想知道什么样的数据，我应该找）
• 我也听说这iptables可能有用

结尾

我知道您永远无法 100% 确定您的计算机没有病毒，但我认为在您的计算机中安装 RAT 是一种“极端病毒”，老实说我怀疑有人真的会控制我的电脑，因为我确定他没有真正的方法，但另一方面，我仍然对此感到偏执，有什么方法可以真正检查它，然后最终关闭这个案例，它占用了我大量时间搜索安全论坛等... ?

我的观点：我个人怀疑Linux上现有的一小部分病毒是否包含这种类型的病毒，但也许我错了。

Answer 1

由于其权限模型和核心设计原则，Linux 在设计上已经非常安全。与 Windows 不同，Linux 在构建时考虑了安全性，这使得它很难真正渗透。

考虑到这一点，渗透任何系统并非不可能，但是您可以采取一些简单的步骤来防止大多数病毒进入您的计算机。

• 让您的系统保持最新状态！
  如果在任何维护良好的软件包中发现安全漏洞，它会被非常迅速地修补。sudo apt update && sudo apt full-upgrade每隔一段时间运行一次，让您的所有软件包保持最新。
• 避免像瘟疫一样的 PPA！
  PPA 对人们非常有用，但除非您可以 100% 确定它们由信誉良好的人运行并且没有受到损害，否则不要将它们添加到您的系统中。通过 APT 传播恶意软件的可能性并不大，因此您会很安全。
• 使用防火墙！
  还记得我说过偶尔会在程序中发现可能被利用的错误吗？安装ufw从APT，然后运行这个命令：sudo ufw default deny incoming。此命令将阻止与您的计算机的任何传入连接。如果您需要允许某些传入连接，只需添加另一个防火墙规则。
• 偶尔扫描病毒/Rootkit ！
  为了安全起见，您应该定期使用clamav和rkhunter偶尔使用。对于 99.9% 的人来说，每两周一次可能绰绰有余。
• 使用常识！
  现有的绝对最好的反恶意软件是常识！不要访问陌生网站，不要下载和运行未知文件等。
• 保持备份！
  如果发生最严重的事件（某些东西被感染），只需擦除系统并从干净的备份中恢复即可。如果您想真正安全，您甚至可以离线备份（通过实时启动），这样恶意软件就没有机会传播到您的驱动器，除非是原始文件形式。
• 加密，宝贝，加密！
  如果您的驱动器上有敏感数据，最好对其进行加密。在需要处理数据时解密数据，并在完成后重新加密。您甚至可以将加密数据存储在单独的驱动器上。这确保如果恶意软件以某种方式进入您的计算机，其机会窗口非常小。

牢记这些简单的技巧，您应该可以免受 Linux 上 99.999% 的所有恶意软件的侵害。您已经在一个安全的操作系统上，我假设您没有对权限进行重大更改。你会没事的！