人們對 Windows 中的病毒已經習以為常,殺毒軟件也基本針對這一領域,但卻不了解 Linux系統是否會染毒,隨著 Linux 的用戶日益增多,Linux 的防毒問題日益凸顯。
當心 Linux病毒
Linux 出現之初,其最初的設計似乎具有先天的病毒免疫能力,所以當時有許多人相信不會有針對 Linux 的病毒出現。但事實證明,Linux 并非樂土,不能例外。1996 年秋,澳大利亞一個叫 VLAD 的組織用匯編語言編寫了據稱是 Linux 系統下的第一個病毒—— Staog,它專門感染二進制文件,并通過三種方式去嘗試得到 root 權限。當然,設計 Staog 病毒只是為了演示和證明 Linux 有被病毒感染的潛在危險,它并沒有對感染的系統進行任何損壞行動。
2001 年,一個名為 Ramen 的 Linux 蠕蟲病毒出現了。Ramen 病毒可以自動傳播,無需人工干預,雖然它沒有對服務器進行任何破壞,但是它在傳播時的掃描行為會消耗大量的網絡帶寬。Ramen 病毒是利用了 Linux 某些版本( Redhat6.2 和 7.0 )的 rpc.statd 和 wu-ftp 這兩個安全漏洞進行傳播的。
同年,另一個針對 Linux 的蠕蟲病毒 Lion 則造成了實際的危害。當時 Lion 通過互聯網迅速蔓延,并給部分用戶的電腦系統造成了嚴重破壞。Lion 病毒能通過電子郵件把一些密碼和配置文件發送到互聯網上的某個郵箱中,攻擊者在收集到這些文件后就可能通過第一次突破時的缺口再次進入整個系統,進行更進一步的破壞活動,比如獲取機密信息、安裝后門等。當 Linux 系統感染了這個病毒后,很有可能因為不能判斷入侵者如何改動了系統而選擇重新格式化硬盤。而且,一臺 Linux 主機在感染了 Lion 病毒后就會自動開始在互聯網上搜尋別的受害者。事后的反饋表明, Lion 病毒給許多 Linux 用戶造成了嚴重的損失。
其他 Linux 平臺下病毒還有 OSF.8759、Slapper、Scalper、Unux.Svat 和 BoxPoison 等,當然,大多數普通的 Linux 用戶幾乎沒有遇到過它們。這是因為直到目前,Linux 上的病毒還非常少,影響的范圍也很小。但隨著 Linux 用戶的增加,越來越多的 Linux 系統連接到局域網和廣域網上,自然增加了受攻擊的可能??梢灶A見,未來會有越來越多的 Linux 病毒出現。因此,如何防范 Linux 病毒就成為每個 Linux 用戶應該開始注意的事情了。
抓住弱點,個個擊破
Linux 的用戶也許聽說甚至遇到過一些 Linux 病毒,這些 Linux 病毒的原理和發作癥狀各不相同,所以采取的防范方法也各不相同。為了更好地防范 Linux 病毒,我們先對已知的一些 Linux 病毒進行分類。
從目前出現的 Linux 病毒來看,可以歸納為以下幾個類型:
1.感染 ELF 格式文件的病毒
這類病毒以 ELF 格式的文件為主要感染目標,通過匯編或者C語言可以寫出能感染 ELF 文件的病毒。Lindose 病毒就是一種能感染 ELF 文件的病毒,當它發現一個 ELF 文件時,將檢查被感染的機器類型。如果查找到匹配的類型,則查找該文件中是否有一部分大于 2784 字節(或十六進制 AEO ),如果有,病毒就會用自身代碼覆蓋它并添加宿主文件的相應部分的代碼,同時將宿主文件的入口點指向病毒代碼部分。
防范:由于 Linux 下有良好的權限控制機制,所以這類病毒要有足夠的權限才能進行傳播。在防范此類病毒時,我們要注意管理好自己 Linux 系統中的各種文件的權限,特別要注意的是在做日常操作時不要使用 root 賬號,最好不要以 root 身份運行來歷不明的可執行文件,以免無意中觸發了含病毒的文件從而傳染到整個系統中。
2.腳本病毒
腳本病毒是指使用 shell 等腳本語言編寫的病毒。此類病毒編寫較為簡單,不需要具有很高深的知識,很容易就實現對系統進行破壞,比如刪除文件、破壞系統正常運行、甚至下載安裝木馬等。但它傳播性不強,通常是在本機上造成破壞。
防范:防范此類病毒也是要注意不要隨便運行來源不明的腳本,同時,要嚴格控制對 root 權限的使用。
3.蠕蟲病毒
Linux 下的蠕蟲病毒與 Windows 下的蠕蟲病毒類似,可以獨立運行,并將自身傳播到另外的計算機上去。
在 Linux 平臺下的蠕蟲病毒通常利用一些 Linux 系統和服務的漏洞來進行傳播,比如, Ramen 病毒就是利用了 Linux 某些版本 ( Redhat6.2 和 7.0 ) 的 rpc.statd 和 wu-ftp 這兩個安全漏洞進行傳播的。
防范:防范此類病毒要堵住蠕蟲病毒發作的源頭,從已經出現的幾個 Linux 病毒爆發事件來看,它們都是利用了 Linux 已經公布了的幾個安全漏洞,如果用戶及時采取了對應的安全措施就不會受到它們的影響。不過遺憾的是,許多 Linux 的管理員并沒有緊密跟蹤與自己系統和服務相關的最新信息,所以還是給病毒以可乘之機。
所以,用戶要做好本機的安全工作,特別要關心 Linux 的安全漏洞信息,一旦有新的 Linux 安全漏洞出現,就要及時采取安全措施。此外,還可以配合防火墻規則來限制蠕蟲病毒的傳播。
4.后門程序
后門程序也可以被看成廣義的病毒,在 Linux 平臺上也非?;钴S。Linux 后門利用系統服務加載、共享庫文件注射、rootkit 工具包,甚至可裝載內核模塊 ( LKM ) 等技術來實現,許多 Linux 平臺下的后門技術與入侵技術相結合,非常隱蔽,難以清除。
防范:防范此類病毒可以借助一些軟件來進行,有一些軟件可以幫助用戶找出系統中的各種后門程序,比如 chkrootkitR、rootkits 等可以發現蠕蟲、后門等。
5.其他病毒
在 Linux 平臺上除了面對針對 Linux 的病毒之外,還要注意到許多 Windows 病毒會存在于 Linux 的文件系統中,當然,這類 Windows 病毒不會在 Linux 中發作,但它們可有機會被傳遞到 Windows 系統中。
比如,Linux 的 Samba 服務器可以作為整個網絡中的文件服務器,當有用戶將含有 Windows 病毒的文件上傳到 Samba 服務器后,Samba 服務器就成為一個病毒攜帶者,雖然它本身不會感染這種 Windows 病毒,但是其他訪問過 Samba 服務的 Windows 系統就有可能從中感染病毒。
防范:為了整體的安全,在 Linux 系統中也需要能查找和殺除 Windows 病毒。這就需要使用一些專門的反病毒軟件?,F在,已經有一些開放源碼軟件和商業軟件可供用戶選擇了,而且其數量正在逐漸增加。
多方入手,剿殺 Linux 病毒
與 Windows 的病毒相比,從數量上看,Linux 的病毒幾乎可以忽略不計,但是 Linux 病毒的制造者們并不會停止,他們多是一些精通編寫代碼的黑客,Linux 自身不可避免地存在的脆弱點很有可能會被他們利用編寫出各式各樣的新 Linux 病毒來。雖然, Linux 病毒還沒有開始泛濫,但如果毫無防范意識的話,一旦某個 Linux 病毒暴發,就很可能造成嚴重的后果。所以 Linux 用戶應該及早重視 Linux 病毒問題。
最后,筆者對Linux平臺下病毒的防范總結出以下幾條建議,僅供參考:
● 做好系統加固工作;
● 留心安全公告,及時修正漏洞;
● 日常操作不要使用 root 權限進行;
● 不要隨便安裝來歷不明的各種設備驅動程序;
● 不要在重要的服務器上運行一些來歷不明的可執行程序或腳本;
● 盡量安裝防毒軟件,并定期升級病毒代碼庫;
● 對于連接到 Internet 的 Linux 服務器,要定期檢測 Linux 病毒,檢查蠕蟲和木馬是否存在;
● 對于提供文件服務的 Linux 服務器,最好部署一款可以同時查殺 Windows 和 Linux 病毒的軟件;
● 對于提供郵件服務的 Linux 服務器,最好配合使用一個 E-mail 病毒掃描器。
總之,對于 Linux 平臺下病毒的防范要采取多種手段,決不可因為現在 Linux 病毒很少就掉以輕心。
原文出處: 計算機世界
原文轉自:http://www.anti-gravitydesign.com