लिनक्स मैलवेयर

लिनक्स मैलवेयर में कंप्यूटर वायरस, ट्रोजन हॉर्स (कंप्यूटिंग), कंप्यूटर वर्म  और अन्य प्रकार के मैलवेयर शामिल हैं जो ऑपरेटिंग सिस्टम के लिनक्स परिवार को प्रभावित करते हैं। लिनक्स, यूनिक्स और अन्य यूनिक्स जैसे कंप्यूटर ऑपरेटिंग सिस्टम को आम तौर पर कंप्यूटर वायरस के खिलाफ बहुत अच्छी तरह से संरक्षित माना जाता है, लेकिन प्रतिरक्षा नहीं होती है।

लिनक्स भेद्यता
यूनिक्स सिस्टम की तरह, लिनक्स एक बहु-उपयोगकर्ता सॉफ़्टवेयर | बहु-उपयोगकर्ता वातावरण लागू करता है जहां उपयोगकर्ताओं को विशिष्ट विशेषाधिकार (कंप्यूटिंग) प्रदान किया जाता है और कुछ प्रकार का एक्सेस नियंत्रण लागू किया जाता है। लिनक्स सिस्टम पर नियंत्रण पाने के लिए या सिस्टम पर कोई गंभीर परिणाम पैदा करने के लिए, मैलवेयर को सिस्टम तक रूट पहुंच हासिल करनी होगी।

अतीत में, यह सुझाव दिया गया था कि लिनक्स में बहुत कम मैलवेयर थे क्योंकि इसकी कम बाजार हिस्सेदारी ने इसे कम लाभदायक लक्ष्य बना दिया था। रिक मोएन, एक अनुभवी लिनक्स सिस्टम प्रशासक, इसका प्रतिवाद करते हैं:

"[That argument] ignores Unix's dominance in a number of non-desktop specialties, including Web servers and scientific workstations. A virus/trojan/worm author who successfully targeted specifically Apache httpd Linux/x86 Web servers would both have an extremely target-rich environment and instantly earn lasting fame, and yet it doesn't happen."

2008 में लिनक्स को लक्षित करने वाले मैलवेयर की मात्रा में वृद्धि देखी गई। कास्परस्की लैब  के एक वरिष्ठ तकनीकी सलाहकार शेन कौरसन ने उस समय कहा था, लिनक्स मैलवेयर में वृद्धि केवल इसकी बढ़ती लोकप्रियता के कारण है, विशेष रूप से एक डेस्कटॉप ऑपरेटिंग सिस्टम के रूप में... ऑपरेटिंग सिस्टम का उपयोग सीधे तौर पर रुचि से संबंधित है मैलवेयर लेखकों द्वारा उस OS के लिए मैलवेयर विकसित करना। सुरक्षा प्रोटोकॉल के एक शोधकर्ता टॉम फेरिस ने कैस्परस्की की एक रिपोर्ट पर टिप्पणी करते हुए कहा, लोगों के दिमाग में, अगर यह गैर-विंडोज़ है, तो यह सुरक्षित है, और ऐसा नहीं है। उन्हें लगता है कि कोई भी लिनक्स या मैक ओएस एक्स के लिए मैलवेयर नहीं लिखता है। लेकिन यह जरूरी नहीं कि सच हो।

कुछ लिनक्स उपयोगकर्ता असुरक्षित दस्तावेज़ों और ईमेल को स्कैन करने के लिए लिनक्स-आधारित एंटी-वायरस सॉफ़्टवेयर चलाते हैं जो विंडोज़ उपयोगकर्ताओं से आते हैं या जा रहे हैं। सिक्योरिटीफोकस के स्कॉट ग्रैनमैन ने कहा:

"...some Linux machines definitely need anti-virus software. Samba or NFS servers, for instance, may store documents in undocumented, vulnerable Microsoft formats, such as Word and Excel, that contain and propagate viruses. Linux mail servers should run AV software in order to neutralize viruses before they show up in the mailboxes of Outlook and Outlook Express users."

क्योंकि वे मुख्य रूप से मेल सर्वर पर उपयोग किए जाते हैं जो अन्य ऑपरेटिंग सिस्टम चलाने वाले कंप्यूटरों को मेल भेज सकते हैं, लिनक्स वायरस स्कैनर आम तौर पर सभी कंप्यूटर प्लेटफार्मों के लिए सभी ज्ञात वायरस के लिए परिभाषाओं का उपयोग करते हैं और स्कैन करते हैं। उदाहरण के लिए, ओपन सोर्स क्लैम एंटीवायरस वायरस, वॉर्म और ट्रोजन का पता लगाता है, जिसमें माइक्रोसॉफ्ट ऑफिस मैक्रो वायरस, मोबाइल मैलवेयर और अन्य खतरे शामिल हैं।

वायरस और ट्रोजन हॉर्स
नीचे सूचीबद्ध वायरस लिनक्स सिस्टम के लिए न्यूनतम खतरा होते हुए भी संभावित खतरा पैदा करते हैं। यदि एक वायरस युक्त संक्रमित बाइनरी चलाया जाता है, तो सिस्टम अस्थायी रूप से संक्रमित हो जाएगा, क्योंकि लिनक्स कर्नेल मेमोरी रेजिडेंट और रीड-ओनली है। कोई भी संक्रमण स्तर इस बात पर निर्भर करेगा कि कौन सा उपयोगकर्ता किन विशेषाधिकारों के साथ बाइनरी चलाता है। रूट खाते के अंतर्गत एक बाइनरी रन पूरे सिस्टम को संक्रमित करने में सक्षम होगा। विशेषाधिकार वृद्धि की कमजोरियाँ एक सीमित खाते के तहत चलने वाले मैलवेयर को पूरे सिस्टम को संक्रमित करने की अनुमति दे सकती हैं।

यह ध्यान देने योग्य है कि यह किसी भी दुर्भावनापूर्ण प्रोग्राम के लिए सच है जो अपने विशेषाधिकारों को सीमित करने के लिए विशेष कदम उठाए बिना चलाया जाता है। उपयोगकर्ता द्वारा डाउनलोड किए जा सकने वाले किसी भी प्रोग्राम में एक कोड स्निपेट जोड़ना मामूली बात है और इस अतिरिक्त कोड को एक संशोधित लॉगिन सर्वर, एक मेल रिले खोलें, या इसी तरह के प्रोग्राम को डाउनलोड करने दें, और उपयोगकर्ता द्वारा लॉग इन करने पर किसी भी समय इस अतिरिक्त घटक को चलाने दें। नहीं इसके लिए विशेष मैलवेयर लेखन कौशल की आवश्यकता है। सबसे पहले (ट्रोजन हॉर्स (कंप्यूटिंग)) प्रोग्राम को चलाने के लिए उपयोगकर्ता को धोखा देने के लिए विशेष कौशल की आवश्यकता हो सकती है।

सॉफ्टवेयर भंडार का उपयोग मैलवेयर की स्थापना के किसी भी खतरे को काफी कम कर देता है, क्योंकि सॉफ़्टवेयर रिपॉजिटरी की जाँच अनुरक्षकों द्वारा की जाती है, जो यह सुनिश्चित करने का प्रयास करते हैं कि उनकी रिपॉजिटरी मैलवेयर-मुक्त है। इसके बाद, सॉफ़्टवेयर का सुरक्षित वितरण सुनिश्चित करने के लिए, अंततः,  उपलब्ध कराए जाते हैं। इनसे उन संशोधित संस्करणों को प्रकट करना संभव हो जाता है जिन्हें उदाहरण के लिए पेश किया गया हो सकता है। मैन-इन-द-मिडिल हमले का उपयोग करके या एआरपी विषाक्तता या डीएनएस विषाक्तता जैसे पुनर्निर्देशन हमले के माध्यम से संचार का अपहरण। इन डिजिटल हस्ताक्षरों का सावधानीपूर्वक उपयोग रक्षा की एक अतिरिक्त पंक्ति प्रदान करता है, जो हमलों के दायरे को केवल मूल लेखकों, पैकेज और रिलीज अनुरक्षकों और संभवतः उपयुक्त प्रशासनिक पहुंच वाले अन्य लोगों को शामिल करने तक सीमित करता है, यह इस बात पर निर्भर करता है कि चाबियाँ और चेकसम कैसे संभाले जाते हैं। प्रतिलिपि प्रस्तुत करने योग्य बिल्ड यह सुनिश्चित कर सकते हैं कि डिजिटल रूप से हस्ताक्षरित स्रोत कोड को विश्वसनीय रूप से बाइनरी एप्लिकेशन में बदल दिया गया है।

कीड़े और लक्षित हमले
यूनिक्स जैसी प्रणालियों के लिए शास्त्रीय खतरा एसएसएच और वेब सर्वर जैसे नेटवर्क डेमॉन (कंप्यूटर सॉफ्टवेयर) में कमजोरियां हैं। इनका उपयोग कंप्यूटर वर्म द्वारा या विशिष्ट लक्ष्यों के विरुद्ध हमलों के लिए किया जा सकता है। चूँकि कोई भेद्यता पाए जाने पर सर्वरों को बहुत जल्दी ठीक कर दिया जाता है, इस प्रकार के केवल कुछ ही व्यापक कीड़े पाए गए हैं। चूंकि विशिष्ट लक्ष्यों पर एक भेद्यता के माध्यम से हमला किया जा सकता है जो कि शून्य-दिन का हमला है, इसलिए कोई गारंटी नहीं है कि एक निश्चित स्थापना सुरक्षित है। इसके अलावा ऐसी कमजोरियों के बिना सर्वर पर पासवर्ड की ताकत के माध्यम से सफलतापूर्वक हमला किया जा सकता है।

वेब स्क्रिप्ट
लिनक्स सर्वर का उपयोग मैलवेयर द्वारा सिस्टम पर बिना किसी हमले के भी किया जा सकता है, उदाहरण के लिए। वेब सामग्री और स्क्रिप्ट को अपर्याप्त रूप से प्रतिबंधित या जांचा जाता है और आगंतुकों पर हमला करने के लिए मैलवेयर द्वारा उपयोग किया जाता है। कुछ हमले लिनक्स सर्वर पर हमला करने के लिए जटिल मैलवेयर का उपयोग करते हैं, लेकिन जब अधिकांश को पूर्ण रूट एक्सेस मिल जाता है तो हैकर्स हमला करने में सक्षम होते हैं बाइनरीज़ को बदलने या मॉड्यूल इंजेक्ट करने जैसी किसी भी चीज़ को संशोधित करना। यह उपयोगकर्ताओं को वेब पर विभिन्न सामग्री पर पुनर्निर्देशन की अनुमति दे सकता है। आमतौर पर, टिप्पणियाँ छोड़ने के लिए बनाई गई एक कॉमन गेटवे इंटरफ़ेस स्क्रिप्ट, गलती से, वेब ब्राउज़र में कमजोरियों का फायदा उठाने वाले कोड को शामिल करने की अनुमति दे सकती है।

बफ़र ओवररन
पुराने लिनक्स वितरण बफ़र अधिकता हमलों के प्रति अपेक्षाकृत संवेदनशील थे: यदि प्रोग्राम बफ़र के आकार की परवाह नहीं करता था, तो कर्नेल केवल सीमित सुरक्षा प्रदान करता था, जिससे हमलावर को हमले के तहत कमजोर एप्लिकेशन के अधिकारों के तहत मनमाना कोड निष्पादित करने की अनुमति मिलती थी। ऐसे प्रोग्राम जो गैर-रूट उपयोगकर्ता (निर्धारित समय बिट के माध्यम से) द्वारा लॉन्च किए जाने पर भी रूट एक्सेस प्राप्त करते हैं, हमला करने के लिए विशेष रूप से आकर्षक थे। हालाँकि, 2009 तक अधिकांश कर्नेल में पता स्थान लेआउट यादृच्छिकीकरण (एएसएलआर), उन्नत मेमोरी सुरक्षा और अन्य एक्सटेंशन शामिल हैं, जिससे ऐसे हमलों को व्यवस्थित करना अधिक कठिन हो जाता है।

क्रॉस-प्लेटफॉर्म वायरस
2007 में पहचानी गई चिंता का एक क्षेत्र क्रॉस-प्लेटफ़ॉर्म वायरस है, जो क्रॉस-प्लेटफ़ॉर्म अनुप्रयोगों की लोकप्रियता से प्रेरित है। इसे Badbunny नामक OpenOffice.org वायरस के वितरण द्वारा मैलवेयर जागरूकता के मामले में सबसे आगे लाया गया।

NortonLifeLock के स्टुअर्ट स्मिथ ने निम्नलिखित लिखा:

इस वायरस को जो बात ध्यान देने योग्य बनाती है वह यह है कि यह दर्शाता है कि स्क्रिप्टिंग प्लेटफॉर्म, एक्स्टेंसिबिलिटी, प्लग-इन, एक्टिवएक्स इत्यादि का कितनी आसानी से दुरुपयोग किया जा सकता है। अक्सर, किसी अन्य विक्रेता के साथ सुविधाओं का मिलान करने के प्रयास में इसे भुला दिया जाता है... मैलवेयर की क्रॉस-प्लेटफ़ॉर्म, क्रॉस-एप्लिकेशन वातावरण में जीवित रहने की क्षमता की विशेष प्रासंगिकता होती है क्योंकि अधिक से अधिक मैलवेयर वेब साइटों के माध्यम से बाहर धकेल दिए जाते हैं। प्लेटफ़ॉर्म की परवाह किए बिना, किसी वेब सर्वर पर जावास्क्रिप्ट इन्फ़ेक्टर को छोड़ने के लिए कोई इस तरह का उपयोग कब तक करेगा? 

सोशल इंजीनियरिंग
जैसा कि किसी भी ऑपरेटिंग सिस्टम के मामले में होता है, लिनक्स मैलवेयर के प्रति संवेदनशील है जो उपयोगकर्ता को सोशल इंजीनियरिंग (सुरक्षा) के माध्यम से इसे इंस्टॉल करने के लिए प्रेरित करता है। दिसंबर 2009 में एक दुर्भावनापूर्ण वॉटरफॉल स्क्रीनसेवर की खोज की गई जिसमें एक स्क्रिप्ट थी जो सेवा से इनकार करने वाले हमलों में संक्रमित लिनक्स पीसी का उपयोग करती थी।

गो-लिखित मैलवेयर
आईबीएम सुरक्षा रिपोर्ट: सीओवीआईडी-19 प्रतिक्रिया प्रयासों का समर्थन करने वाले उद्योगों पर हमले डबल में एक प्रमुख बिंदु था कि साइबर अपराधी लिनक्स मैलवेयर के उपयोग में तेजी लाते हैं - पिछले वर्ष में लिनक्स से संबंधित मैलवेयर परिवारों में 40% की वृद्धि हुई है, और 500% की वृद्धि हुई है 2020 के पहले छह महीनों में गो-लिखित मैलवेयर, हमलावर लिनक्स मैलवेयर में माइग्रेशन को तेज कर रहे हैं, जो क्लाउड वातावरण सहित विभिन्न प्लेटफार्मों पर अधिक आसानी से चल सकता है। ये साइबर अपराधी अस्पतालों और संबद्ध उद्योगों (जो इन प्रणालियों और क्लाउड नेटवर्क पर निर्भर हैं) को लक्षित करने के लिए तेजी से लिनक्स और यूनिक्स का उपयोग कर रहे हैं, क्योंकि रेड क्रॉस साइबर हमला हमले जैसे कोविड-19 संकट के दौरान वे तेजी से असुरक्षित हो गए हैं।

एंटी-वायरस अनुप्रयोग
ऐसे कई एंटी-वायरस एप्लिकेशन उपलब्ध हैं जो लिनक्स ऑपरेटिंग सिस्टम के तहत चलेंगे। इनमें से अधिकांश एप्लिकेशन ऐसे कारनामों की तलाश में हैं जो माइक्रोसॉफ्ट विंडोज के उपयोगकर्ताओं को प्रभावित कर सकते हैं।

माइक्रोसॉफ़्ट विंडोज़ ़-विशिष्ट खतरों के लिए
ये एप्लिकेशन कंप्यूटर (आमतौर पर, सर्वर) के लिए उपयोगी हैं जो माइक्रोसॉफ्ट विंडोज उपयोगकर्ताओं को फ़ाइलें भेजेंगे। वे लिनक्स-विशिष्ट खतरों की तलाश नहीं करते हैं।

• Avast! (proprietary; freeware version available)

• AVG (proprietary; freeware version available)

• Avira (proprietary; freeware version was available, discontinued due to lack of demand)

• BitDefender (proprietary; freeware version available)

• ClamAV (free and open source software)

• Comodo (proprietary; freeware version available)

• Crowdstrike (Proprietary)

• Dr.Web (proprietary)

• F-Prot (proprietary; freeware version available)

• F-Secure Linux (proprietary)

• Kaspersky Linux Security (proprietary)

• McAfee VirusScan Enterprise for Linux (proprietary)

• Panda Security for Linux (proprietary)

• Sophos (proprietary)

• Symantec AntiVirus for Linux (proprietary)

• Trend Micro ServerProtect for Linux (proprietary)

लिनक्स-विशिष्ट खतरों के लिए
ये एप्लिकेशन उन लिनक्स कंप्यूटरों के लिए वास्तविक खतरों की तलाश करते हैं जिन पर वे चल रहे हैं।

मेमोरी फोरेंसिक टूल का उपयोग करके लिनक्स मैलवेयर का भी पता लगाया जा सकता है (और उसका विश्लेषण किया जा सकता है), जैसे:
 * चक्रोटकिट (मुफ़्त और खुला स्रोत सॉफ़्टवेयर)
 * ClamAV (मुफ़्त और खुला स्रोत सॉफ़्टवेयर)
 * सुविधाजनक समूह (मालिकाना)
 * भीड़ का हमला (मालिकाना)
 * डॉ.वेब (मालिकाना) * ईएसईटी (मालिकाना)
 * लिनक्स मैलवेयर का पता लगाएं
 * लिनिस (ओपन सोर्स ऑडिटिंग)
 * आरकेहंटर (मुफ़्त और खुला स्रोत सॉफ़्टवेयर)
 * समहिन (सॉफ्टवेयर) (मुफ़्त और खुला स्रोत सॉफ़्टवेयर)
 * सोफोस एंटी-वायरस (मालिकाना)
 * फोर्सपॉइंट (मालिकाना)
 * अस्थिरता (मेमोरी फोरेंसिक) (मुफ़्त और खुला स्रोत सॉफ़्टवेयर)

धमकी
निम्नलिखित ज्ञात लिनक्स मैलवेयर की आंशिक सूची है। हालाँकि, यदि कोई है तो उनमें से कुछ ही जंगल में हैं, और अधिकांश लिनक्स अपडेट के कारण अप्रचलित हो गए हैं या कभी खतरा नहीं थे। ज्ञात मैलवेयर एकमात्र या यहां तक ​​कि सबसे महत्वपूर्ण खतरा नहीं है: नए मैलवेयर या विशिष्ट साइटों पर निर्देशित हमले समुदाय के लिए पहले से अज्ञात या मैलवेयर द्वारा अप्रयुक्त भेद्यता (कंप्यूटिंग) का उपयोग कर सकते हैं।

बॉटनेट्स

 * तबाही - 32/64-बिट लिनक्स/फ्रीबीएसडी मल्टीफ़ंक्शनल बॉटनेट
 * Remaiten|Linux.Remaiten - चीजों की इंटरनेट को लक्ष्य करने वाला एक खतरा।
 * मिराई (मैलवेयर) - एक DDoS बॉटनेट टेलनेट सेवा के माध्यम से फैलता है और इंटरनेट ऑफ थिंग्स (IoT) को संक्रमित करने के लिए डिज़ाइन किया गया है।
 * GafGyt/BASHLITE/Qbot - एक DDoS बॉटनेट SSH और टेलनेट सेवा के कमजोर पासवर्ड के माध्यम से फैलता है, जिसे सबसे पहले बैश शेलशॉक भेद्यता के दौरान खोजा गया था।
 * लुआबॉट - लुआ प्रोग्रामिंग भाषा में मॉड्यूल घटक के साथ कोडित एक बॉटनेट, लिबसी के साथ सी रैपर में क्रॉस-संकलित, इसका लक्ष्य एआरएम, एमआईपीएस और पीपीसी आर्किटेक्चर में इंटरनेट ऑफ थिंग्स के लिए, डीडीओएस के उपयोग के साथ, मिराई (मैलवेयर) फैलाना या बेचना है। साइबर अपराध तक प्रॉक्सी पहुंच।
 * हाइड्रा, ऐड्रा, लिट्रा और न्यूएड्रा - शक्तिशाली आईआरसी बॉटनेट का दूसरा रूप जो लिनक्स बॉक्स को संक्रमित करता है।
 * एनर्जीमेक 2.8 ओवरकिल मॉड (लिनक्स/ओवरकिल) - एक लंबे समय तक चलने वाला बॉटनेट जो अपने बॉट के साथ सर्वर को संक्रमित करने के लिए डिज़ाइन किया गया है और डीडीओएस और प्रसार उद्देश्य के लिए आईआरसी प्रोटोकॉल के माध्यम से संचालित होता है।

रैनसमवेयर
• Linux.Encoder.1

• Lilocked

रूटकिट्स

 * स्नैको - एक 64-बिट लिनक्स वेबसर्वर रूटकिट

ट्रोजन
• Effusion – 32/64-bit injector for Apache/Nginx webservers, (7 Jan 2014)

• Hand of Thief – Banking trojan, 2013,

• Kaiten – Linux.Backdoor.Kaiten trojan horse

• Rexob – Linux.Backdoor.Rexob trojan

• Waterfall screensaver backdoor – on gnome-look.org

• Tsunami.gen – Backdoor.Linux.Tsunami.gen

• Turla – HEUR:Backdoor.Linux.Turla.gen

• Xor DDoS – a trojan malware that hijacks Linux systems and uses them to launch DDoS attacks which have reached loads of 150+ Gbps.

• Hummingbad – has infected over 10 million Android operating systems. User details are sold and adverts are tapped on without the user's knowledge thereby generating fraudulent advertising revenue.

• NyaDrop – a small Linux backdoor compiled from a Linux shellcode to be used to infect Linux boxes with bigger size Linux malware.

• PNScan – Linux trojan designed to aim routers and self-infecting to a specific targeted network segment in a worm-like form

• SpeakUp – a backdoor trojan that infects six different Linux distributions and macOS devices.

वायरस
• 42

• Arches

• Alaeda – Virus.Linux.Alaeda

• Binom – Linux/Binom

• Bliss – requires root privileges

• Brundle

• Bukowski

• Caveat

• Cephei – Linux.Cephei.A (and variants)

• Coin

• Hasher

• Lacrimae (aka Crimea)

• MetaPHOR (also known as Simile)

• Nuxbee – Virus.Linux.Nuxbee.1403

• OSF.8759

• PiLoT

• Podloso – Linux.Podloso (The iPod virus)

• RELx

• Rike – Virus.Linux.Rike.1627

• RST – Virus.Linux.RST.a (known for infecting Korean release of Mozilla Suite 1.7.6 and Thunderbird 1.0.2 in September 2005 )

• Staog

• Vit – Virus.Linux.Vit.4096

• Winter – Virus.Linux.Winter.341

• Winux (also known as Lindose and PEElf)

• Wit virus

• Zariche – Linux.Zariche.A (and variants)

• ZipWorm – Virus.Linux.ZipWorm

कीड़े
• Adm – Net-Worm.Linux.Adm

• Adore

• Bad Bunny – Perl.Badbunny

• Cheese – Net-Worm.Linux.Cheese

• Devnull

• Kork

• Linux/Lion

• Linux.Darlloz – targets home routers, set-top boxes, security cameras and industrial control systems.

• Linux/Lupper.worm

• Mighty – Net-Worm.Linux.Mighty

• Millen – Linux.Millen.Worm

• Ramen worm - targeted only Red Hat Linux distributions versions 6.2 and 7.0

• Slapper

• SSH Bruteforce

यह भी देखें

 * बॉटनेट
 * कंप्यूटर वायरस की तुलना
 * कंप्यूटर वायरस
 * कंप्यूटर वर्म
 * गंदी गाय
 * रैंसमवेयर
 * स्पाइवेयर
 * कंप्यूटर वायरस और वॉर्म की समयरेखा
 * ट्रोजन हॉर्स (कंप्यूटिंग)

बाहरी संबंध

 * Linuxvirus on the Official Ubuntu Documentation