私は友人がFedoraオペレーティングシステムを使用してシステムを管理するのを助けます。彼らはトロイの木馬などの存在を言及する通知が強調表示されていると報告しており、これに衝撃を受けました。私は通常、Selinuxを有効にしてこれらのデバイスにファイアウォールを設定したため、深刻な問題ではないと仮定します。すべてのデバイスはルーターの背後にあります。clamav
、、、、rkhunter
など、いくつかのアプリを自分のデバイスにインストールしてchkrootkit
実行することにしました。どちらも華やかなものをrkhunter
示していませんが、そこにあります。ちなみに、それらのいくつかをリストしました。chkrootkit
clamav
Found 76 possible threats (224741 files scanned).
/home/me/.mozilla/firefox/b9w9hqme.default-1635637832461 /extensions/[email protected] PUA.Win.Trojan.Xored-1
/home/me/.mozilla/icecat/h2020a74.default/extensions/[email protected] PUA.Win.Trojan.Xored-1
/home/me/.cache/mozilla/firefox/b9w9hqme.default-1635637832461/cache2/entries/7B869B1E4FEB0079533855B292DEDC9F049750CD PUA.Win.Trojan.Xored-1
/home/me/.cache/mozilla/firefox/b9w9hqme.default-1635637832461/cache2/entries/6BA4FE386CA8001456C08ADCC0D8047E35A2BD77 PUA.Win.Exploit.CVE_2012_1461-1
....................
/home/me/.cache/microsoft-edge-beta/Default/Cache/Cache_Data/c6dd4acd03fcf165_0 PUA.Win.Trojan.Xored-1
/home/me/.cache/microsoft-edge-beta/Default/Cache/Cache_Data/16fb8756c668ad8b_0 PUA.Win.Trojan.Xored-1
......................
/home/me/.config/google-chrome/Default/Extensions/hdokiejnpimakedhajhdlcegeplioahd/4.123.0.2_0/oidc-client.min.js PUA.Win.Trojan.Xored-1
/home/me/.config/google-chrome/Default/Extensions/hdokiejnpimakedhajhdlcegeplioahd/4.123.0.2_0/lpfulllib.js PUA.Win.Trojan.Xored-1
Klamavは過度に熱心なのか、それとも実際に分離する必要がありますか?ロバート
答え1
私は通常、Selinuxを有効にしてこれらのデバイスにファイアウォールを設定したため、深刻な問題ではないと仮定します。
あなたが何に基づいて自信を持っているのかわかりません。これは正しいことではありません。
警告がユーザーのホームディレクトリ内のファイルに影響し、したがって複数のブラウザに影響を与えるという事実がログで明確に確認されます。問題が実際にマルウェアであることが判明した場合、ゲームは終了します。セキュリティ対策が失敗したか適用されていません。この場合、ユーザーがインストールしたブラウザ拡張機能なので適用されませんでした。ユーザーが直接インストールできると期待していたため、これを防ぐための汎用SELinuxメカニズムはありませんでした。
SELinuxは、固定機能プログラムがアクセスしてはならないデータや機能にアクセスしないように設計されています。しかし、これは失敗しました。
また、もしこれはマルウェアであり、友達のすべてのユーザーデータが破損していると見なされます。これらのブラウザのいずれかに入力した内容はすべて破損する可能性があります。
これらの警告は、ウイルスではなく「PUA」または潜在的に望ましくないアプリケーションに対する警告です。
Klamavは過度に熱心なのか、それとも実際に分離する必要がありますか?
PUAを明示的に確認しているようです。したがって、ClamAVはあまり熱心ではありませんが、ユーザーは「ああ、悪意のあるコードであるかどうかを調べてください。しかし、これらのものが悪意のあるコードに使用される可能性を排除することはできません」と明らかにしています。これは非常に広範なカテゴリであるため、誤検出が発生する可能性があります。私はあなたの特定の警告を考慮する方法についてのアドバイスを提供しません。
それらを隔離する
「分離ファイル」は私の人生では決して意味がありません。ファイルが感染しているか、すべての合理的な手段で削除されたか、感染していません。
ファイルがソフトウェアのインストールの一部である場合、そのファイルを移動またはアクセスできないようにしたり削除したりすると、ソフトウェアが破損する可能性があります。だから「ああ、ウイルスを発見したが元の場所からウイルスを移動するだけで、ユーザーが以前のように作業を続けることができる」という考え自体がおかしいです。この場合、これらのファイルを「分離」、削除、またはその他の方法で削除すると、ブラウザが影響を受ける拡張機能を読み込めない、単に誤って動作する、または機能を停止する可能性があるというメッセージが表示されることがあります。本当に素晴らしいソリューションです。
正直なところ、ウイルス対策は最後の手段です。感染したファイルがシステムに表示されたら、システム全体を消去し、詐欺された重要なデータを再インストールして復元する必要があります。マルチレベル認証スキームの一部ではなく、このコンピュータで実行されるすべてのログインまたは保存されたログイン資格情報については、後でパスワードを変更する必要があります。マルチレベル認証に関係なく、既存のセッションをすべて閉じる必要があります。
システムが破損し、ウイルス対策ソフトウェアを介してその事実を知ることができました。これは予防措置ではなく診断だけです。
もう一度申し上げますが、ClamAVはマルウェアを発見したと主張しません。潜在的にマルウェアを実装するために使用できるファイル機能がある可能性があると思われるものが見つかりました。