كيفية منع السلوك الشبيه بالفيروسات في نظام Linux

إذا كنت تواجه سلوكًا غير متوقع على جهاز Linux ، فأنت على الأرجح تعاني من مشكلة في التكوين أو الجهاز. عادة ما ترتبط الأحداث الغريبة بهذين الشرطين. لا تعمل بعض محولات الرسومات بدون تثبيت برامج احتكارية ، وتبدو غريبة على خلاف ذلك. ربما تكون قد فقدت أيضًا بيانات نتيجة عدم تطابق نظام الملفات أو شيء آخر غير عادي مثل هذا. ومع ذلك ، قد يكون من المغري إلقاء اللوم على مثل هذه المشاكل على الفيروس.

الفيروس هو مصطلح يستخدمه العديد من الأشخاص بشكل غير صحيح للإشارة إلى جميع أنواع البرامج الضارة المختلفة. الإصابات الفيروسية الحقيقية نادرة بشكل استثنائي على لينكس. ضع في اعتبارك أن GNU / Linux ليس النظام الأساسي الأكثر شيوعًا لأجهزة المستهلك. يستهدف عدد قليل نسبيًا من التهديدات مستخدمي Linux المنزليين نتيجة لذلك. تعد الخوادم أكثر جاذبية ، على الرغم من وجود بعض التهديدات لتوزيعات Google Android المستخدمة على الهواتف الذكية والأجهزة اللوحية. تأكد دائمًا من استبعاد الاحتمالات الأخرى قبل الذعر. غالبًا ما تكون ثغرات لينكس أكثر سرية من الفيروسات. غالبًا ما تكون مثل المآثر. ضع هذه التلميحات في الاعتبار ولن تضطر إلى التعامل مع أي مشكلات خطيرة. يرجى تذكر أن الأوامر التي تمت مناقشتها هنا خطيرة للغاية ، ويجب عدم استخدامها. نحن فقط نقول لك ما الذي تبحث عنه. بينما أخذنا بعض لقطات الشاشة في هذه العملية ، استخدمنا بالفعل جهازًا افتراضيًا لهذا الغرض ولم نتسبب في تلف بنية ملف حقيقية.

الطريقة الأولى: منع القنابل البريدية

تعتبر القنابل البريدية مشكلة بشكل خاص لأنها تسبب مشاكل لجميع المشاكل بالتساوي. هذه لا تستغل نظام التشغيل ، بل طريقة عمل أرشيفات الملفات. لا يزال من الممكن أن يتسبب استغلال قنبلة مضغوطة لإلحاق الضرر بأجهزة كمبيوتر MS-DOS في الثمانينيات من القرن الماضي في حدوث نفس المشكلة تمامًا لهاتف Android الذكي بعد 10 سنوات من الآن.

خذ الدليل المضغوط 42.zip سيء السمعة على سبيل المثال. في حين أنه يحمل اسمًا كلاسيكيًا 42.zip نظرًا لأنه يشغل مساحة 42 كيلوبايت ، يمكن للمخادع أن يطلق عليه ما يشاء. يحتوي الأرشيف على خمس طبقات مختلفة من الأرشيفات المتداخلة المنظمة في مجموعات من 16. تحتوي كل طبقة منها على طبقة سفلية تحتوي على ما يقرب من 3.99 جيجا بايت ثنائية من الأحرف الخالية. هذه هي نفس البيانات غير المهمة التي تخرج من ملف الجهاز / dev / null في Linux بالإضافة إلى جهاز NUL في MS-DOS و Microsoft Windows. نظرًا لأن جميع الأحرف خالية ، يمكن ضغطها إلى أقصى الحدود وبالتالي إنشاء ملف صغير جدًا في هذه العملية.

تشغل كل هذه البيانات الفارغة معًا ما يقرب من 3.99 بيتابايت من المساحة عند فك ضغطها. هذا يكفي لتقديم حتى بنية ملف RAID. لا تقم أبدًا بفك ضغط الأرشيف الذي لست متأكدًا بشأنه لمنع هذه المشكلة.

إذا حدث هذا لك في أي وقت ، فأعد تشغيل نظامك من قرص مضغوط مباشر على Linux أو بطاقة microSDHC أو USB وحذف الملفات الفارغة الزائدة ، ثم أعد التشغيل مرة أخرى من نظام الملفات الرئيسي. البيانات نفسها ليست ضارة عادة. يستفيد هذا الاستغلال من حقيقة أن معظم هياكل الملفات وتكوينات ذاكرة الوصول العشوائي لا يمكنها الاحتفاظ بهذا القدر من البيانات في وقت واحد.

الطريقة الثانية: استغلال خدعة الأمر

لا تقم مطلقًا بتشغيل أمر Bash أو tcsh إذا لم تكن متأكدًا مما يفعله بالضبط. يحاول بعض الأشخاص خداع مستخدمي Linux الجدد لتشغيل شيء من شأنه الإضرار بنظامهم. حتى المستخدمين المتمرسين يمكن أن ينزلقوا من قبل المخادعين الماكرين الذين يكتبون أنواعًا معينة من الأوامر الخطرة. أكثرها شيوعًا هي القنابل المتشعبة. يحدد هذا النوع من الاستغلال وظيفة ، ثم تستدعي نفسها. تستدعي كل عملية تابعة تم إنتاجها حديثًا نفسها حتى يتعطل النظام بأكمله ويجب إعادة تشغيله.

إذا طلب منك أحدهم تشغيل شيء سخيف مثل: (): ؛: ، فهو إذًا يهينك ويحاول إقناعك بتعطل جهازك. المزيد والمزيد من توزيعات Linux لديها الآن حماية ضد هذا. يخبرك البعض أنك تقوم بتعريف عملية بطريقة غير صالحة.

هناك إصدار تجريبي واحد على الأقل من FreeBSD يوجه إهانة نشطة لأي مستخدم يحاول القيام بذلك ، لكنه لا يسمح له بإيذاء نظامه فعليًا. لا تحاول ذلك أبدًا من أجل تجربته بالرغم من ذلك.

الطريقة الثالثة: فحص النصوص غير العادية

في أي وقت تتلقى Python أو Perl أو Bash أو Dash أو tcsh أو أي نوع آخر من البرامج النصية ، قم بفحصها قبل تجربتها. قد تكون الأوامر الضارة مخفية بداخله. ألقِ نظرة على أي شيء يشبه مجموعة من الرموز السداسية العشرية. على سبيل المثال:

' xff xff xff xff x68 xdf xd0 xdf xd9 x68 x8d x99 ″

' xdf x81 x68 x8d x92 xdf xd2 x54 x5e xf7 x16 xf7 ″

منفذ شحن iphone 5s

يتم أخذ هذين السطرين من نص برمجي يقوم بترميز الأمر rm -rf / المدمر بشكل استثنائي إلى رمز سداسي عشرية. إذا كنت لا تعرف ما كنت تفعله ، فبإمكانك بسهولة تثبيت التثبيت بالكامل وربما نظام تمهيد UEFI معه.

ابحث عن الأوامر التي تبدو سطحية غير ضارة والتي من المحتمل أن تكون ضارة. قد تكون على دراية بكيفية استخدام الرمز> لإعادة توجيه الإخراج من أمر إلى آخر. إذا رأيت أي شيء من هذا القبيل يعيد التوجيه إلى شيء يسمى / dev / sda أو / dev / sdb ، فهذه محاولة لاستبدال البيانات في وحدة تخزين بالقمامة. أنت لا تريد أن تفعل ذلك.

الأمر الآخر الذي ستراه كثيرًا هو أمر يشبه هذا:

mv / bin / * / dev / null

ال / dev / null ملف الجهاز ليس أكثر من دلو قليلا. إنها نقطة اللاعودة للبيانات. يقوم هذا الأمر بنقل محتويات ملف / صباحا دليل إلى / dev / null الذي يزيل كل شيء بداخله. نظرًا لأن هذا يتطلب الوصول إلى الجذر للقيام به ، فإن بعض المخادعين المخادعين سيكتبون شيئًا مثل mv ~ / * / dev / null ، لأن هذا يفعل الشيء نفسه لدليل المستخدم ، ولكن دون الحاجة إلى أي وصول خاص. ستعيد بعض التوزيعات الآن رسائل خطأ إذا حاولت القيام بذلك:

انتبه جيدًا لأي شيء يستخدم dd أو mkfs.ext3 أو mkfs.vfat أوامر. ستعمل هذه على تهيئة محرك الأقراص ، وتبدو طبيعية نسبيًا.

مرة أخرى ، يرجى أن تضع في اعتبارك أنه لا يجب عليك مطلقًا تشغيل أي من هذه الأوامر على نظام ملفات مباشر. نحن نخبرك فقط بما يجب البحث عنه ، ولا نريد لأي شخص أن يحمص بياناته أو بياناتها. كن حذرًا وتأكد من أنك تعرف ما تفعله قبل استخدام ملف خارجي.