Começo

O https://www.kernel.org/ foi hackeado em 2011 e o John Hawley, um dos principais administradores (Warthog9) informou no pastebin que um trojan foi encontrado em dois servidores, e três outros também poderiam estar infectados.

O hacker instalou nos servidores

• o rootkit Phalanx
• o trojan Ebury.

Em mais de 17 dias, ninguém percebeu que havia algo errado no site e por isso ele ficou por mais de um mês fora do ar.
Algumas semanas após esse problema o próprio site da Linux Foundation e Linux.com foram invadidos, aonde a Linux Foundation informou que “provavelmente” isso tenha sido reflexo da invasão do kernel.org, informando os usuários para alterar suas senhas e chaves de criptografia pois elas foram comprometidas.
Até hoje muitos criticam a Linux Foundation por não ser transparente, pois até hoje ela não detalhou o que realmente aconteceu com seus servidores.

NADA disso teria acontecido se esses servidores utilizassem um antivirus minimamente bom, pois:

• o código-fonte do rootkit Phalanx foi disponibilizado na web em 2005 e a muitooo tempo ele já era detectado por antivírus para Linux.

A mesma coisa vale pro site do Linux Mint, para os servidores da RedHat e também para os servidores do Debian.

Também existem casos como esse e esse em que um antivirus faria bastante diferença para usuários caseiros.

Referências

• As ligações presentes no texto.
• Windows x Linux: conheça os mitos e lendas nessa discussão! | BABOO

Notas

• Sobre o artigo do Baboo, leve em conta apenas a seção que envolve o assunto do tópico: Windows x Linux: Linux é seguro?
• Não é só o antivirus que vai te salvar, o usuário também precisa ter cuidado, más até usuários experientes pegam malwares as vezes.
• Favor não desviar o assunto original do tópico.

Listas de antivirus para Linux

• ClamAV

Servidores Linux simplesmente não são comparáveis a um desktop qualquer. Eles, muitas vezes por necessidade, expõem serviços com bastante privilégios (como SSH) num IP fixo, numa porta fixa e com poucas regras de “bloqueie tudo”. Usuários caseiros raramente, se algum dia verão, alguém invadir seus PCs pela porta 22 e instalar um rootkit, especialmente numa distribuição com um firewall pré-configurado corretamente.

Fora que muitos padrões de segurança já obrigam a instalar antivírus/antirootkits em servidores (desde shell scripts a serem rodados de mídia externa como o rkhunter até Microsoft Defender).

O artigo perdeu a oportunidade de destacar ocasiões em que um antivírus faria diferença para um usuário caseiro, como extensões “bichadas” (1, 2).

O problema não é a falta de antivírus, mas a necessidade de implementar políticas de segurança melhores. Como exemplo um SELinux bem configurado minimizaria e isolaria os danos causados por algum malware.

Sim, isso também é um problema.

Ele não minimizaria, por exemplo, os danos de um ransoware, algo que o antivirus pode detectar facilmente.

Em relação a usuários caseiros (e leigos) grande parte das coisas que um antivirus poderia previnir seriam essas extensões “bixadas”.

Isso não é nenhum resumo, usuários leigos instalam apps de qualquer fonte e dão acesso root a ele ainda por cima (!), até em lojas oficiais de extensões das interfaces existem várias extensões falsas que roubam seus dados, tudo isso pode ser previnido com um antivirus, por ex: ClamAV, e ademais, até em lojas oficiais existem malwares.

Eu favorável que usuários tenham anti-vírus e firewalls instalados e ativos, mesmo que algo básico. Ter alguma proteção é melhor que nenhuma. No caso específico dos ambientes Linux domésticos ou pequenas empresas ativar um ClamGTK e um GUFW não irão causar mal nenhum e podem poupar algumas dores de cabeça - mesmo que cenários onde estes usuários sejam infectados não costumem ser comuns.

Porém, no ambiente corporativo como alguns dos exemplos citados, o cenário é totalmente diferente.

O correto é utilizar várias camadas de segurança, tendo trabalhado em algumas empresas bem grandes que já sofreram ataques minha visão é que quando o “caldo entorna” isso é apenas o sintoma de anos de políticas ruins de segurança colocadas em prática.

Em grandes empresas com centenas de máquinas, mesmo com monitoramento ativo dos servidores e rede, é bastante complexo identificar comportamentos estranhos em uma massa pequena de máquinas.

É interessante estudar estes casos e ver além do óbvio, dificilmente apenas 1 fator desencadeou o problema. Mas, de forma geral, se preocupar com a segurança da sua rede local não te trará nenhum mal.

Dúvida besta mas, o “ClamGTK” não seria apenas uma GUI para o ClamAV e o “GUFW” uma GUI para o UFW?

Na verdade, é ClamTK. E sim, são versões gráficas dos seus correspondentes em linha de comando

image1010×610 56.1 KB

image1010×610 52.6 KB

Sim, ele minimizaria.

Um antivírus talvez fosse útil para detectar o ransomware antes dele ser executado, mas salvo se ele fosse extremamente invasivo e fiscalizasse cada arquivo acessado por cada programa (o que significaria um programa com muitas responsibilidades rodando como root, o que por si só não é exatamente bom para a segurança), ele não minimizaria os danos se o ransonware fosse executado.

SELinux e AppArmor, no entanto, restringem quais aplicativos podem acessar quais caminhos e arquivos. Por exemplo, usuários de Ubuntu tem que modificar a configuração do AppArmor caso eles queiram que o serviço possa modificar arquivos na /home deles. Isso poderia parar um ransomware depois de ele ser executado.

Flatpak (e Firejail/Bwrap para quem prefere usar pacotes de própria distribuição) podem dar garantias parecidas para usuários de desktop (apesar de às vezes sacrifícios em nome da conveniência terem de ser feitos).

El antivirus soy yo.

Brincadeiras a parte, como mencionado pelo @eddiecsilva, proteção extra nunca é demais.
Outro reforço de defesa é sempre manter os software atualizados como mencionado pelo @anon1223307.

Exemplo análogo:

• Ultima atualização do usuário foi Janeiro de 2021
• O Hacker escreveu(coded) o vírus Fevereiro de 2021
• A Distro se atualizou anulando este vírus em Março de 2021
• O Hacker rescreveu o vírus em Abril de 2021
• A Distro se reatualizou anulando este novo vírus em Maio de 2021

E o usuário? Continuou com os seus software, inclusive o antivirus, defasados de Janeiro de 2021… Não só o vírus de Fevereiro que irá infectar a máquina do pobre usuário, mas o de Abril também!

Outra dica, sempre ter cuidado onde clica na Internet, pois direto do cloud, nem antivirus pode segurar se o problema for acessar um link malicioso e ele capturar os dados tudo no cloud, o antivirus não vai ter nem idéia do que está acontecendo. Como aconteceu com o canal do Zangado, o próprio Diolinux passou por problemas nos bastidores, e outros na Internet tempos atrás. Desconfiemos de tudo, até mesmo desconfiemos de nós mesmos.

“Em casa a proteção básica é um cadeado na porta, na Internet são as pontas dos nossos dedos nos cliques.”

Peace out

Entendi a proposta do tópico, entendi que você queria “alertar” que nunca da para ficar 100% tranquilo com a segurança, e é verdade, não é porque você usa linux e navegador sem google que você simplesmente ta quebrando a chance de ter vírus , mas o jeito que você escreveu pareceu meio agressivo , “É necessario SIM instalar antivirus no linux” mas por logica, quando a pessoa clica no tópico, ela pensa que vai receber um relato da pessoa que escreveu ou alguma empresa que o “linux à comprometeu”. Mas você colocou uma algumas coisas antigas, mas como eu ja falei eu concordo com algumas coisas:

Ok, é verdade, mesmo eu nunca tendo usado um no linux, porque eu não sei como afaria meu sistema, e que impacto que eu ia tomar. Não uso uma distro conhecida nem falada, nixOS, e se meu sistema é alergico a antivirus? Chamo o batman? ai o sistema inteiro quebraria por uma prevenção de algo que não aconteceu? Sim e não, não quis dizer e nem quero entrar na discussão do “ver pra crer” mas isso no linux é uma coisa muita relativa de fazer falar e discutir.
Agora vou falar uma coisa arriscada, mas eu vi no seu perfil, que você é novo aqui, e seu primeiro post foi logo no tópico que eu estava acompanhando sem falar nada, NOVOS PROBLEMAS no Windows 10 com a última Atualização! , e você tava defendendo bastante o windows, mas ta certo, com proprias palavras do dono Dio e os administradores, esse fórum não é só de linux tanto que existe flag para android, Apple, Outros sistemas e ai vai. Mas é inegavel que você tava falando com propriedade lá, não falaram ainda, mas ta na cara que você é um “fanboy”, e isso não é interessante nesse fórum, que como está escrito nas regras, esse é um tópico voltado para iniciantes e pessoas com duvidas, até pessoas que sabem muito sobre computação aqui, eu ja vi elas com duvidas que foram resolvidas. Isso é uma comunidade , de tecnologia e do jeito oue você falou, você so apontou os erros do linux, que a maioria admite que ta lá, a maioria aqui usa o sistema porque quer, não porque alguem aqui do fórum obrigou a usar linux.

Não, nem sempre pode. Ja lidei com virus pesados que antivirus de nome não conseguiram “fazer a ponte pro gol”. O que pareceu aqui é que você queria dar um motivo para passar longe de sistemas com o kernel linux. Se fui grosseiro em alguma coisa ou falei algo sem logica ja peço desculpa, essa é a minha opinião. Mas não sou fanboy do linux, acho que ja disse aqui algumas vezes, que se o linux me apresentasse algum mau funcionamento, eu não iria pra algum sistema como bsd, eu iria direto para o windows. Afinal, não tenho nada contra o sistema, so prefiro usar linux em minhas maquinas, pra mim é mais comodo.

Um reforço, sobre esta do cloud, navegação na internet.

Hoje em dia, quando acessamos sites maliciosos, o malware ele pode se instalar no nosso computador(local) mas ele pode atuar somente no cloud, entre nossas contas na internet.

Quando acessamos sites, não é o nosso computador ou uma rede interna que estamos acessando, e sim computadores de outras pessoas e empresas como, Google, Microsoft, Linkedin, computador da Oonagh, etc. Se estes sites não se atualizarem, não tiverem proteção, sofrerem ataques, independente do antivírus que tivermos nas nossa máquinas, nós poderemos nos dar muito mau, pois o antivírus só irá proteger o nosso computador local, o nosso antivirus não está instalado lá no computador do Linkedin por exemplo.

Por isso tem de ter cuidado nos cliques, pois nem antivírus, nem Linux, nem BSD, nem “Secret das Galáxias Kernel”, irão proteger nossos dados, pois nós temos de acessar os computadores dos outros para navegar na internet.

Todo cuidado é pouco.

Antivírus e antimalwares/ransomware/etc são as formas de segurança menos efetiva que existem no mercado, por n motivos, provavelmente o pior deles sendo o incentivo a soluções fracas de segurança por tantos anos.

Definitivamente são dispensáveis em servidores. Existem a anos soluções muito melhores inclusive soluções com papel similar ao do anti-vírus. O caso da kernel.org na verdade é um exemplo de brechas mais sérias e poderia ter sido evitado com políticas de segurança mais rígidas e menos danosas que usar um antivírus.

boa resposta…

Eu adicionaria que, um dos fatos que poucas pessoas sabem, é que ferramentas como SELinux e AppArmor são capazes de enjaular inclusive processos com privilégio administrativo. Contêineres como Firejail/Bubblewrap extendem um pouco mais o conceito e conseguem inclusive impedir o processo sequer de ver certos dispositivos, UIDs, GUIDs e inclusive proibir o uso de system calls via seccomp (restringir quais funções do Kernel estão visíveis para o processo).

Ambos podem ser usados em conjunto para obter praticamente qualquer granularidade de isolamento imaginável.

Honestamente, antivírus rodando no seu servidor, bom, não existe, é o tipo de solução que coloca com uma mão e tira com a outra. Existem abordagens melhores e mais inteligentes inclusive na área de filtragem eurística que é o caso dos antivírus, como firewalls físicos com filtros (inclusive com eurísticas melhoradas, IA, curadoria humana, etc) que não padecem do mesmo problema do antivirus tradicional.

Mas nesse caso o usuário saberia que o que estava executando era um ransomware para fazer configurações tão especificas desse tipo.

Nesse caso teria que passar longe do Windows também

Na verdade é o contrário, antivirus são o tipo de solução que age por saber da existência do ransomware, soluções como SELinux agem “bloqueando antes de perguntar”, se somente o processo X do servidor pode e precisa escrever em diretório xyz, ninguém mais precisa ou deve excrever no diretório xyz, nem o ransomware.

Esse tipo de solução é melhor por ser capaz de cobrir casos inclusive desconhecidos por especialistas (quem desenvolveu o antivírus ou quem administra o sistema).

Eu estava falando sobre fazer o firewall bloquear o ransoware [e apenas ele] de fazer alterações na home: