web-dev-qa-db-ja.com

Linuxシステムにはランサムウェアに対するアンチウイルスが必要ですか?

私はLinuxを使用してチームのプライベートデータとバックアップを保存しています。これは、Linux自体がマルウェアから非常に安全であり、ウイルス対策を必要としないためです。

しかし、今やランサムウェアが広まり、Windowsを実行するビジネスPCに影響を与え始めているため、ランサムウェアの新しい亜種がリリースされるまでにそれほど長くはありません。

私は、ビットコインのためだけにランサムウェアによってデータが暗号化される危険を冒したくありません。 Linuxシステムでは、この脅威から保護するためにウイルス対策が必要ですか?

linuxantivirusransomware
17
defalt

質問には実際には複数の部分があります。

  1. Linuxはマルウェア、特にランサムウェアの影響を受けますか?
  2. Linux用のウイルス対策製品はありますか?
  3. これらの製品はこの脅威に役立ちますか?

最初に答えるには:
はい、Linuxにはマルウェアがあり、ランサムウェアもあります。現在のところ、通常、Windowsとは異なる方法で感染が広がっています。Windows上のマルウェアは、フィッシングメールやWebによってほとんどが配布され、プラットフォーム固有の脆弱性と機能を利用しています。たとえば、主にWindowsスクリプトホスト、Officeドキュメントのマクロ、Officeの脆弱性などです。 Linuxシステムでは、代わりに通常はサーバーを攻撃することによってインストールされ、多くの場合Wordpressおよびその他のCMSのセキュリティ問題を使用してインストールされます。ただし、これは主にデスクトップの使用がまだ少ないのにLinuxのサーバー使用が大きいためです。ランサムウェアをWindowsと同様の方法で拡散するために必要な機能と脆弱性は、Linuxにもしばしば存在しますが、いくつかの違い(実行可能ファイルのアクセス許可を明示的に設定する必要性など)によって、エクスプロイトが困難になる場合があります。

2つ目は、Linux用のウイルス対策製品です。
ClamAVのような無料の製品と市販の製品の両方があります。

そして最後に、これらのアンチウイルスは、Linuxを標的とするマルウェア/ランサムウェアに対して役立ちますか?
彼らはほとんどそうしません。これらのウイルス対策製品は、主にWindowsを標的とする攻撃からの保護を対象としており、通常、Windowsシステムに配信される可能性のあるファイルやメールをスキャンするために使用されます。したがって、たとえば、メールサーバーやファイルサーバー、およびWebサーバーで、サーバーがマルウェアの拡散に使用されていないことを確認するのに役立ちます。ただし、Windowsを標的とした攻撃から完全に保護することはできません。彼らは、Linuxに対してよく知られている(時には概念実証のみの)マルウェアを検出するためのコードを含んでいる可能性がありますが、新しいものからは保護しません。 既存のシステムの侵害の痕跡をスキャンする の製品もあり、これらはアンチウイルスと呼ばれることもありますが、多くの場合そうではありません。

27
Steffen Ullrich

Linuxは安全ですが、完璧ではありません。

Linuxマルウェアが存在し、例があります: WordPress-Delivered Ransomware and Hacked Linux Distributions 魔女は、プログラムの脆弱性を利用してLinuxマシンをランサムウェアに感染させる方法を説明しています。

それがどのように働きますか?

A WordPressサイトは利用可能な任意の方法でハッキングされます。これは、ブルートフォースパスワード推測攻撃、またはプラグイン、テーマ、コアの脆弱性を悪用することによるものです。

攻撃者は、WordPressサイトにコードをインストールして、Nuclear Exploit Kitを実行している他の感染したWebサイトに訪問者をリダイレクトします。リダイレクトは、一連のWebサイトを介して行われ、WebブラウザとGoogleがサイトが感染していることを警告するリダイレクトに関係するサイトは頻繁に変更されます。

感染したサイトへの訪問者がリダイレクトされると、nuclearエクスプロイトキットは、サイト訪問者のFlashプラグイン、Microsoft Silverlight、Adobe Reader、またはInternet Explorerで脆弱性を検索します。

Nuclearが脆弱性を検出すると、訪問者のマシンを悪用してTeslaCrypt Ransomwareをインストールします。

次に、ランサムウェアはワークステーション上のすべてのファイルを暗号化し、システムを復号化するために支払うように所有者を強要します。

2番目の例: Linux.Encoder.1Dr.Web によって作成

Linuxでウイルス対策プログラムが必要ないのはなぜですか?

信頼できるリポジトリからプログラムをインストールし、プログラムの欠陥にパッチを当てるためにシステムが頻繁に更新されるため

オープンソースソフトウェアを使用すると、ソースコードを誰でも利用できるようになり、エキスパートや開発者がテストしてパッチを適用できます。

なぜウイルス対策が必要なのですか?

ウイルス対策は役立つことがあります:

  • メールのウイルスをスキャンする。

  • システムにwineをインストールして、お気に入りのWindowsソフトウェアを実行している場合。

  • ネットワーク上にWindowsマシンがある場合。

  • Windowsのハードドライブをスキャンします。

  • Windowsマシンに送信する前にファイルをスキャンします。

任意のオペレーティングシステムでランサムウェアを無効にする簡単な方法は、定期的に更新されるバックアップを持つことです。

3
GAD3R

データ操作から保護する最善の方法は、追加専用ストレージを提供するマシンへのバックアップです。

最も単純なケースはログファイルサーバーです。データを送信できる単一のシリアルリンクがあり、タイムスタンプが付けられて保存されます。それ以外の場合、システムはデータを解釈せず、シリアルリンクにコマンドインターフェイスはありません。

完全バックアップの場合、他のマシンに接続し、現在の状態をアクティブにフェッチして直接アーカイブする1台のマシンを使用します。以前のバージョンとの重複排除が可能です。クライアントはこのシステムに連絡する方法がありません。すべてのTCPポートが外部から閉じられます。

このシステムには、以前のバージョンを提供するだけでなく、操作を検出するためにも使用できるという優れた利点があります。マルウェアの作成者は、このシステムからマルウェアを隠す(つまり、クリーンなバックアップをとる)か、含めるかを選択できます。それ(バックアップサーバー上で実行されているウイルス対策システムがそれを発見できるようにします)。

3
Simon Richter

この答えはシナリオに固有であり、一般的にすべてのLinuxシステムに当てはまるわけではありません。

セットアップでアンチウイルス保護は必要ありません。睡眠が良くなる場合は追加できますが、セキュリティを大幅に向上させることはできません。

システムは基本的にファイルストアです。システムに関する重要な詳細について言及しなかった場合を除き、外部からの攻撃を受ける可能性はありません(つまり、インターネットに接続されておらず、他のサービスを実行せず、誰もデスクトップや作業マシンとして使用していません)。

マルウェアがこのマシンで実行される現実的な方法はわかりません。はい、ファイル共有サービスにエクスプロイトが含まれている可能性がありますが、マルウェアはまずネットワーク上の別のマシンに感染し、次にそのエクスプロイトを攻撃する必要があります。不可能ではありませんが、その可能性は低いようです。

また、確実なバックアップソリューションを検討している場合は、オフサイトのセカンダリバックアップを保持していると思います。オフサイトで出荷する前に、リードバックテストでそのセカンダリバックアップの可読性を確認します。バックアップサーバーで何かが発生した場合でも、それをワイプしてオフサイトバックアップを取得できます。

0
Tom