Como detectar e remover um Trojan Linux?

Recentemente, (re) deparei com isso: o Trojan Linux passa despercebido por quase um ano (Unreal IRCd)

Sim, eu sei que adicionar algum PPA / software aleatório de uma fonte não confiável está causando problemas (ou pior). Eu nunca faço isso, mas muitos fazem (muitos blogs e tabloides do Linux promovem a adição de PPAs para aplicativos sofisticados, sem aviso de que isso pode danificar seu sistema ou, pior ainda, comprometer sua segurança.)

Como um cavalo de Tróia ou um aplicativo / script não autorizado pode ser detectado e removido?

É sempre um jogo de gato e rato com software de detecção. Novo malware é criado, os scanners são atualizados para detectá-lo. Sempre há um atraso entre os dois. Existem programas que usam heurísticas que observam o que o software está fazendo e tentam capturar atividades indesejadas, mas, na minha opinião, não é uma solução perfeita e utiliza recursos.

Meu conselho é simples: não instale software de fontes em que você não confia, mas se você é como eu e não pode evitar a tentação, coloque-o em uma máquina virtual (por exemplo, caixa virtual) e brinque com ele até estar confiante isso não atrapalha seu sistema ou faz coisas que você não queria.

Novamente, não é uma solução perfeita, mas, por enquanto, uma máquina virtual tem a melhor chance de isolar sua máquina de indesejados.

A maioria dos softwares anti-malware para Linux / Unix simplesmente procura por malware do Windows. As ocorrências de malware no Linux geralmente são muito limitadas, mesmo nos casos em que as atualizações de segurança são lentas ou não chegam.

Basicamente, você usa apenas o software em que confia e atualiza diariamente, é assim que fica seguro.

Outra resposta disse: "É sempre um jogo de gato e rato com software de detecção".
Discordo.

Isso vale para abordagens que dependem de assinaturas ou heurísticas para detectar malware.
Mas há outra maneira de detectar malware: verificar mercadorias conhecidas :

• Tripwire , AIDE , etc. podem verificar arquivos no disco.
  

• O Second Look pode verificar o kernel e os processos em execução.
  O Second Look usa análise forense de memória para inspecionar diretamente o sistema operacional, serviços ativos e aplicativos.
  Ele compara o código na memória com o que foi lançado pelo fornecedor de distribuição do Linux. Dessa maneira, ele pode identificar imediatamente modificações maliciosas feitas por rootkits e backdoors e programas não autorizados (cavalos de Troia, etc.).

(Divulgação: Eu sou o desenvolvedor principal do Second Look.)

Kaspersky e avg têm soluções que oferecem, e a McAfee possui uma para a Red Hat que pode estar disponível no Ubuntu. avg está aqui: http://free.avg.com/us-en/download

Você pode achar este artigo interessante: http://math-www.uni-paderborn.de/~axel/bliss/

Tenho a mentalidade de que, se você executou algo como raiz com o qual se preocupa mais tarde, provavelmente deve reinstalar. todos os arquivos transferidos provavelmente devem ter o bit executável removido, bem como 'chmod ugo -x'

Você também pode experimentar o ClamAV no centro de software