We detected you are likely not from a Russian-speaking region. Would you like to switch to the international version of the site?

  Назад к списку статей
Termux

Обнаружение и нейтрализация вредоносных скриптов в Linux‑контейнерах Termux

04 фев 2026 в 19:30 Усачёв Денис Евгеньевич

Termux – это полноценная Linux‑среда для Android, позволяющая запускать скрипты, компилировать программы и использовать привычные инструменты системного администрирования. Однако открытость терминала делает его привлекательной целью для злоумышленников, которые могут внедрять вредоносные скрипты в контейнеры.

Почему Termux уязвим?

Основные причины повышенного риска:

  • Отсутствие «привилегированных» ограничений, характерных для традиционных Linux‑дистрибутивов.
  • Часто используемые пакеты из сторонних репозиториев без строгой проверки подписи.
  • Привычка запускать скрипты, полученные из мессенджеров, форумов или публичных репозиториев без предварительного аудита.

Типичные вредоносные скрипты в Termux

Вредоносный код может принимать различные формы:

  • Ботнет‑агенты – скрипты, поддерживающие связь с C&C‑сервером.
  • Кража данных – скрипты, собирающие токены, пароли, файлы конфигураций.
  • Майнеры – используют процессор устройства для добычи криптовалют.
  • Rootkits и backdoor‑скрипты – скрывают своё присутствие и открывают постоянный доступ.

Инструменты для обнаружения вредоносных скриптов

Ниже перечислены проверенные утилиты, которые можно установить непосредственно в Termux.

# Обновление репозиториев и установка базовых средств
apt update && apt upgrade -y
apt install -y clamav rkhunter chkrootkit yara git curl wget

Краткое описание:

  • clamav – антивирус с базой сигнатур.
  • rkhunter и chkrootkit – сканеры руткитов.
  • yara – гибкая система правил для поиска подозрительных образцов.

Практика: сканирование контейнера

1. Обновление сигнатур ClamAV:

freshclam

2. Полное сканирование домашней директории:

clamscan -r --bell --log=$HOME/clamav.log $HOME

3. Проверка на руткиты:

rkhunter --check --skip-keypress

4. Поиск подозрительных файлов с помощью YARA (пример правила «malicious_script.yar»):

rule MaliciousScript {
    meta:
        description = "Detects typical malicious bash/python scripts"
    strings:
        $bash_shebang = "#!/bin/bash"
        $python_shebang = "#!/usr/bin/python"
        $suspicious_cmd = /wget\s+.(sh|bash)/ nocase
        $base64_blob = /[A-Za-z0-9+\/]{100,}={0,2}/
    condition:
        any of ($suspicious_cmd, $base64_blob) and $bash_shebang
}

Запуск правила:

yara -r malicious_script.yar $HOME

Анализ поведения скриптов

Помимо статического анализа, важно отслеживать динамику выполнения:

  • Запуск strace для мониторинга системных вызовов.
  • Использование auditd (можно установить через apt install audit) для записи действий файловой системы.
  • Сбор сетевого трафика с помощью tcpdump или ngrep для выявления подозрительных соединений.

Пример отслеживания сетевых запросов из скрипта:

tcpdump -i any -nn -s 0 -w /sdcard/termux_traffic.pcap "port 80 or port 443"

Нейтрализация и восстановление

После обнаружения вредоносного кода рекомендуется выполнить следующие шаги:

  1. Изоляция: Остановить все подозрительные процессы (pkill -f suspicious_script.sh) и отключить сетевой доступ (termux-wifi-disable, если доступен).
  2. Квантование: Переместить найденные файлы в карантинную директорию для дальнейшего анализа. 
    mkdir -p $HOME/quarantine
mv /path/to/malicious.sh $HOME/quarantine/
  3. Удаление: После подтверждения вредоносного характера выполнить rm -f. 
    rm -f $HOME/quarantine/malicious.sh
  4. Восстановление образа: Если подозрения распространяются на большую часть контейнера, проще переустановить Termux и восстановить данные из резервной копии. 
    termux-setup-storage
rm -rf $HOME/
pkg install -y python git ...   # заново установить нужные пакеты
  5. Обновление сигнатур и правил: После инцидента обновить базы ClamAV, YARA и правила rkhunter.

Лучшие практики по предотвращению заражения

  • Регулярно обновляйте репозитории (apt update && apt upgrade -y).
  • Устанавливайте пакеты только из официальных репозиториев Termux.
  • Проверяйте скрипты, полученные из внешних источников, с помощью shellcheck и yara перед выполнением.
  • Включайте автоматическое обновление сигнатур: crontab -e0 3 * freshclam.
  • Создавайте резервные копии важной информации (tar -czvf backup.tar.gz $HOME) и храните их вне устройства.

Заключение

Termux предоставляет мощные возможности, но без надлежащего контроля безопасности он может стать площадкой для распространения вредоносных скриптов. Используя комбинацию статических сканеров (clamav, rkhunter, yara) и динамического мониторинга (strace, tcpdump), вы сможете своевременно обнаружить угрозы и быстро нейтрализовать их. Не забывайте о регулярных обновлениях, резервных копиях и ограничении источников программного обеспечения.

Если вам требуется профессиональная оценка безопасности, настройка мониторинга или восстановление после инцидента, команда RybinskLab готова предложить комплексные решения под ключ. Мы поможем защитить ваш мобильный Linux‑контейнер от современных угроз.

* Текст статьи подготовлен и структурирован с использованием технологий искусственного интеллекта. Проверен экспертом RybinskLab.

Поделиться знанием:

Нужна профессиональная помощь?

Меня зовут Усачёв Денис Евгеньевич. Я оказываю IT-услуги в Рыбинске и Ярославской области: настройка серверов, безопасность, автоматизация бизнеса.

Связаться со мной