有什么Linux下的免费杀毒软件吗

 1、ClamAV

是一款开源防病毒软件，可检测病毒、恶意软件、特洛伊木马和其他威胁，也是免费提供的，这使其成为Linux上最好的防病毒软件之一，ClamAV具有命令行扫描程序，这意味着它可以扫描主要文件类型中的蠕虫、病毒和特洛伊木马，为确保安全并保持最新状态，病毒库一天会更新多次。

2、Chkrootkit

Chkrootkit会检查rootkit，它是一个在命令行界面上运行的免费软件，可以在不安装软件的情况下扫描您的系统，还是一个轻量级程序，这意味着它不会影响系统性能，还可以检测各种其他恶意软件和木马，如后门、TinyNDS等。

3、Comodo

作为Linux上最好的免费防病毒软件之一，Comodo带有按需病毒扫描程序，还检查使用云数据库以检查未知文件，以确保每一天的安全，一旦安装，就不会用无用的警报来打扰你，只是保护计算机免受所有传入的威胁。

4、Sophos

作为另一款免费的防病毒软件，Sophos具有高级功能，并且在Linux系统上也能轻松运行，可以使你的Linux免受Android、Windows和Mac的病毒和恶意软件的侵害，且具有强大的基于启发式的检测和实时扫描功能。

5、Rootkit Hunter

另一个免费检测rootkit的好选择，Rootkit Hunter也被认为是Linux上最好的防病毒软件之一，与大多数UNIX系统兼容，使用命令行界面，重量轻。

6、F-PROT

是一款带有按需扫描仪的免费软件，这是一个不错的选择，可确保针对宏病毒、引导扇区病毒和木马的安全性，可以根据自己的喜好安排扫描，强大的工具是快速扫描和庞大数据库的组合，可确保您的系统安全。

2013杀毒软件排行榜
TOP10强
1：avast!杀毒软件
来自捷克的
avast!，已有数十年的历史，它在国外市场一直处于领先地位。avast!分为家庭版、专业版、家庭网络特别版、和服务器版以及专为Linux和Mac设计的版本等等众多版本。avast!的实时监控功能十分强大，免费版的avast!antivirus home edITion它拥有七大防护模块：网络防护、标准护、网页防护、即时消息防护、互联网邮件防护、P2P防护、网络防护。免费版的需要每年注册一次,注册是免费的！收费的avast!antivirus professional还有脚本拦截、PUSH更新、命令行扫器、增大用户界面等4项家庭版没有的功能。全球六大杀毒软件排名与认证
2：卡巴斯基反病毒软件
卡巴斯基2012(Kaspersky Anti-Virus)新版本安全软件套装提供30天免费试用，卡巴斯基在启动过程中能提供强有力的保护，Rootkit等隐藏程序不能再肆意对系统造成破坏，恶意软件阻止反病毒引擎启动的现象也得到了遏制。卡巴斯基2012(KasperskyAnti-Virus)用户界面添加了新的设计元素，变得更简单， *** 作更有效。用户可直接启动安全状态监视器，查看实时安全情况。卡巴2012安全套装确保用户可以从桌面直接启动多个常用任务，并针对触控式 *** 作进行了优化。
卡巴斯基2012新版本在防御钓鱼网站方面更上一层楼，SystemWatcher系统监视器主要通过行为分析监控系统事件，一旦发现异常将及时回滚。什么是杀毒软件除此以外，卡巴斯基2012版本继承了旧版的许多优点，比如加强垃圾邮件过滤器和家长控制功能，智能防火墙在发出警告的同时把对正常使用的影响降到最小，虚拟键盘、沙盒机制、漏洞扫描、隐私选项、系统救急工具等等。卡巴斯基反病毒软件系列旨在为计算机提供稳固的核心安全保护，实时保护用户免遭各种IT
威胁的侵害，满足计算机安全的基本需求。
3：金山毒霸
2012猎豹下载>分类: 电脑/网络 >> 反病毒
问题描述:

每次用瑞星查杀的时候都会出现这个病毒！然后提示已经删除！然后我再开机重起之后就会再次出现！这是怎么回事！有时候还会由a8000756样的病毒！请各位大虾指教！

解析:

rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常，攻击者通过远程攻击获得root访问权限，或者首先密码猜测或者密码强制破译的方式获得系统的访问权限。进入系统后，如果他还没有获得root权限，再通过某些安全漏洞获得系统的root权限。接着，攻击者会在侵入的主机中安装rootkit，然后他将经常通过rootkit的后门检查系统是否有其他的用户登录，如果只有自己，攻击者就开始着手清理日志中的有关信息。通过rootkit的嗅探器获得其它系统的用户和密码之后，攻击者就会利用这些信息侵入其它的系统。

什么是rootkit

Rootkit出现于二十世纪90年代初，在1994年2月的一篇安全咨询报告中首先使用了rootkit这个名词。这篇安全咨询就是CERT-CC的CA-1994-01，题目是Ongoing Neork Monitoring Attacks，最新的修订时间是1997年9月19日。从出现至今，rootkit的技术发展非常迅速，应用越来越广泛，检测难度也越来越大。其中针对SunOS和Linux两种 *** 作系统的rootkit最多(树大招风:P)。所有的rootkit基本上都是由几个独立的程序组成的，一个典型rootkit包括：
以太网嗅探器程程序，用于获得网络上传输的用户名和密码等信息。

特洛伊木马程序，例如：id或者login，为攻击者提供后门。

隐藏攻击者的目录和进程的程序，例如：ps、stat、rshd和ls等。

可能还包括一些日志清理工具，例如：zap、zap2或者z2，攻击者使用这些清理工具删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。

一些复杂的rootkit还可以向攻击者提供tel、shell和finger等服务。

还包括一些用来清理/var/log和/var/adm目录中其它文件的一些脚本。

攻击者使用rootkit中的相关程序替代系统原来的ps、ls、stat和df等程序，使系统管理员无法通过这些工具发现自己的踪迹。接着使用日志清理工具清理系统日志，消除自己的踪迹。然后，攻击者会经常地通过安装的后门进入系统查看嗅探器的日志，以发起其它的攻击。如果攻击者能够正确地安装rootkit并合理地清理了日志文件，系统管理员就会很难察觉系统已经被侵入，直到某一天其它系统的管理员和他联系或者嗅探器的日志把磁盘全部填满，他才会察觉已经大祸临头了。但是，大多数攻击者在清理系统日志时不是非常小心或者干脆把系统日志全部删除了事，警觉的系统管理员可以根据这些异常情况判断出系统被侵入。不过，在系统恢复和清理过程中，大多数常用的命令例如ps、df和ls已经不可信了。许多rootkit中有一个叫做FIX的程序，在安装rootkit之前，攻击者可以首先使用这个程序做一个系统二进制代码的快照，然后再安装替代程序。FIX能够根据原来的程序伪造替代程序的三个时间戳(atime、ctime、mtime)、date、permission、所属用户和所属用户组。如果攻击者能够准确地使用这些优秀的应用程序，并且在安装rootkit时行为谨慎，就会让系统管理员很难发现。

LINUX ROOTKIT IV

前面说过，大部分rootkit是针对Linux和SunOS的，下面我们介绍一个非常典型的针对Linux系统的rootkit--Linux Rootkit IV。Linux Rootkit IV是一个开放源码的rootkit，是Lord Somer编写的，于1998年11月发布。不过，它不是第一个Linux Rootkit，在它之前有lrk、lnrk、lrk2和lrk3等Linux Rootkit。这些rootkit包括常用的rootkit组件，例如嗅探器、日志编辑/删除工具、和后门程序的。

经过这么多年的发展，Linux Rootkit IV功能变的越来越完善，具有的特征也越来越多。不过，虽然它的代码非常庞大，却非常易于安装和使用，只要执行make install就可以成功安装。如果你还要安装一个shadow工具，只要执行make shadow install就可以了。注意：Linux Rootkit IV只能用于Linux 2x的内核。下面我们简单地介绍一下Linux Rootkit IV包含的各种工具，详细的介绍请参考其发布包的README文件。

隐藏入侵者行踪的程序

为了隐藏入侵者的行踪，Linux Rootkit IV的作者可谓煞费心机，编写了许多系统命令的替代程序，使用这些程序代替原由的系统命令，来隐藏入侵者的行踪。这些程序包括：

ls、find、du

这些程序会阻止显示入侵者的文件以及计算入侵者文件占用的空间。在编译之前，入侵者可以通过ROOTKIT_FILES_FILE设置自己的文件所处的位置，默认是/dev/ptyr。注意如果在编译时使用了SHOWFLAG选项，就可以使用ls -/命令列出所有的文件。这几个程序还能够自动隐藏所有名字为：ptyr、hackdir和W4r3z的文件。

ps、top、pidof

这几个程序用来隐藏所有和入侵者相关的进程。

stat

隐藏出/入指定IP地址或者端口的网络数据流量。

killall

不会杀死被入侵者隐藏的进程。

ifconfig

如果入侵者启动了嗅探器，这个程序就阻止PROMISC标记的显示，使系统管理员难以发现网络接口已经处于混杂模式下。

crontab

隐藏有关攻击者的crontab条目。

tcpd

阻止向日志中记录某些连接

syslogd

过滤掉日志中的某些连接信息

木马程序

为本地用户提供后门，包括：

chfn

提升本地普通用户权限的程序。运行chfn，在它提示输入新的用户名时，如果用户输入rookit密码，他的权限就被提升为root。默认的rootkit密码是satori。

chsh

也是一个提升本地用户权限的程序。运行chsh，在它提示输入新的shell时，如果用户输入rootkit密码，他的权限就被提升为root。

passwd

和上面两个程序的作用相同。在提示你输入新密码时，如果输入rookit密码，权限就可以变成root。

login

允许使用任何帐户通过rootkit密码登录。如果使用root帐户登录被拒绝，可以尝试一下rewt。当使用后门时，这个程序还能够禁止记录命令的历史记录。

木马网络监控程序

这些程序为远程用户提供后门，可以向远程用户提供id、rsh、ssh等服务，具体因版本而异。随着版本的升级，Linux Rootkit IV的功能也越来越强大，特征也越来越丰富。一般包括如下网络服务程序：

id

特洛伊id程序，为攻击者提供远程访问服务。

rshd

为攻击者提供远程shell服务。攻击者使用rsh -l rootkitpassword host mand命令就可以启动一个远程root shell。

sshd

为攻击者提供ssh服务的后门程序。

工具程序

所有不属于以上类型的程序都可以归如这个类型，它们实现一些诸如：日志清理、报文嗅探以及远程shell的端口绑定等功能，包括：

fix

文件属性伪造程序

linsniffer

报文嗅探器程序。

sniffc

一个简单的bash shell脚本，检查系统中是否正有一个嗅探器在运行。

wted

wtmp/utmp日志编辑程序。你可以使用这个工具编辑所有wtmp或者utmp类型的文件。

z2

utmp/wtmp/lastlog日志清理工具。可以删除utmp/wtmp/lastlog日志文件中有关某个用户名的所有条目。不过，如果用于Linux系统需要手工修改其源代码，设置日志文件的位置。

bindshell

在某个端口上绑定shell服务，默认端口是12497。为远程攻击者提供shell服务。

如何发现rootkit

很显然，只有使你的网络非常安装让攻击者无隙可乘，才能是自己的网络免受rootkit的影响。不过，恐怕没有人能够提供这个保证，但是在日常的网络管理维护中保持一些良好的习惯，能够在一定程度上减小由rootkit造成的损失，并及时发现rootkit的存在。

首先，不要在网络上使用明文传输密码，或者使用一次性密码。这样，即使你的系统已经被安装了rootkit，攻击者也无法通过网络监听，获得更多用户名和密码，从而避免入侵的蔓延。

使用Tripwire和aide等检测工具能够及时地帮助你发现攻击者的入侵，它们能够很好地提供系统完整性的检查。这类工具不同于其它的入侵检测工具，它们不是通过所谓的攻击特征码来检测入侵行为，而是监视和检查系统发生的变化。Tripwire首先使用特定的特征码函数为需要监视的系统文件和目录建立一个特征数据库，所谓特征码函数就是使用任意的文件作为输入，产生一个固定大小的数据(特征码)的函数。入侵者如果对文件进行了修改，即使文件大小不变，也会破坏文件的特征码。利用这个数据库，Tripwire可以很容易地发现系统的变化。而且文件的特征码几乎是不可能伪造的，系统的任何变化都逃不过Tripwire的监视(当然，前提是你已经针对自己的系统做了准确的配置:P，关于Tripwire和aide的使用请参考本站的相关文章)。最后，需要能够把这个特征码数据库放到安全的地方。

前一段时间，写了几篇rootkit分析文章，这篇权且作为这一系列文章的总结，到此为止。但是在最近发布的Phrack58-0x07(Linux on-the-fly kernel patching without LKM)中实现一个直接修改内核数据结构的rootkit，因此决定写一个续篇。:

---