Linux病毒和UNIX病毒需要特別重視(轉)

Linux病毒和UNIX病毒需要特別重視(轉)[@more@]

[ZDNet China專稿] 不久以前，很多系統管理員還信誓旦旦的表示，Linux和其他基於UNIX的平臺對於病毒和蠕蟲事實上是無懈可擊的。我不知道為什麼他們對自己的威脅分析這麼自信，特別是從第一個大型蠕蟲在1988年被Robert Morris發明，在使用Sendmail程式的UNIX系統中被釋放出來以後。我猜測每個人都變得熱衷於批評微軟的作業系統和軟體，這已經成為越來越多病毒製造者的攻擊目標，然而他們卻遺忘了UNIX上的脆弱點。

Linux/UNIX威脅

隨著Klez病毒在Linux平臺上傳染的通告，防毒軟體廠商開始提醒我們微軟的作業系統不再是唯一易受病毒攻擊的作業系統了。即使Linux和其他一些主流UNIX平臺的使用者可能不是微軟捆綁應用軟體的大使用者，不可能透過這些軟體造成病毒的泛濫，Linux和UNIX仍然有它們自身並不引人注目的脆弱點。

除了Klez以外，其他Linux/UNIX平臺的主要威脅有：Lion.worm、OSF.8759病毒、Slapper、Scalper、Linux.Svat和BoxPoison病毒，這些很少被提及。

我記得曾經在兩年前參加了一個由歐洲最大的財政機構完成的安全審計專案，當時我聽見一個知名的安全專家告訴審計師，UNIX是不易受病毒攻擊的。審計師只是簡單的說了一句"okay"，然後紀錄下"UNIX系統對於病毒是安全的"。那個時代已經過去了，你現在可以預料到，安全審計師和IT安全團隊已經開始強烈的需要UNIX平臺上的病毒策略了。

一個叫Alexander Bartolich的奧地利學生甚至已經完成了如何一個編寫Linux平臺上ELF 病毒的指南。Bartolich 沒有要求做一個Linux病毒先鋒，他表示，他只是更有效的說明了和反映了病毒、蠕蟲和木馬威脅Linux 更好的途徑，那些很早就已經在別處被說明了。有了這樣具啟發性的、在網上釋出的文件，基於UNIX的病毒數量只會增長的更快，特別是自Linux 在伺服器領域的應用越來越廣泛之後。系統管理員也許希望，在親自讀過那本指南以後，對Linux 病毒的理解發生飛躍，從而能夠更好的掌握Linux 的脆弱點。

病毒的製造者是一些精通編寫程式碼的駭客，他們遠比那些胡亂塗改網站卻對編寫病毒知之甚少的駭客要危險。儘管一個被黑掉的網站可以很快的修好，病毒卻加更隱蔽，會帶來潛在的安全隱患。你也許不能相信，但是病毒會一直潛伏，直到它給系統帶來不可挽回的損害。

受影響的Linux/UNIX平臺

不是所有版本的Linux/UNIX平臺都已經被影響，但是下面這些是在從前已經被病毒侵害過的系統：

# SuSE Linux

# Mandrake Linux

# Red Hat Linux

# Debian GNU Linux

# Slackware Linux

# FreeBSD

# HP/UX

# IBM AIX

# SCO Unixware

# SCO OpenServer

# Sun Solaris

# SunOS

越多的Linux/UNIX系統連線到區域網和廣域網，你的單位就有越多受攻擊的可能，這是因為很多UNIX 病毒正在快速的擴散著。使用WINE的 Linux/UNIX系統特別容易受到病毒的攻擊。WINE是一個公開原始碼的相容軟體包，能讓UNIX平臺執行Windows應用軟體。 WINE系統特別容易遭受病毒的攻擊，因為它們會使無論是對UNIX的還是對 Windows的病毒、蠕蟲和木馬都能對系統產生威脅。

威脅的本質

你不應該為Linux/UNIX平臺上的病毒和Windows作業系統上的病毒工作方式不同而感到奇怪。不過，UNIX中病毒、蠕蟲和木馬工作的原理和Windows中的還是大同小異的。

病毒只不過是一個能不經過你的同意而感染和摧毀其他程式的程式。蠕蟲是一個不經過你的同意而自我複製的程式碼塊。儘管計算機程式中的bug也可能在未經你允許的情況下進行自我複製，它們還是有很大區別的。區別就在於bug的自我複製是無意識的，而病毒的自我複製卻是有意識的。木馬程式隱藏了它們進行數字破壞的企圖。在一個UNIX環境下，木馬可能被命名為一個合法的程式（例如tar或者df），可是它卻能移除整個檔案系統。

這些病毒和蠕蟲如何工作

為了給你一個由UNIX病毒、蠕蟲和木馬產生的重大破壞過程的認識，我帶你走進兩個假想的環境來揭示它們是如何工作的。每個病毒、蠕蟲和木馬都有它們自己的特性和行為，當然，這些例子只能給你一個對它們怎樣在Linux/UNIX裡發作的認識。

讓我們從Linux.Slapper worm. Slapper怎樣侵襲一個Apache伺服器開始。它透過HTTP的80埠連線到伺服器，然後傳送有效的GET請求，以發現正在使用的Apache伺服器的版本，從而為詳細的目標系統做一個自我定義。當找到了一個合適的易攻擊的系統之後，它又連線到443埠，利用一個緩衝區溢位漏洞來採用合適的蠕蟲包替換目標系統。

接著，蠕蟲會利用一個本地編譯器，例如gcc來編譯自己。二進位制結果跟著從/tmp目錄開始擴散，監聽UDP埠，以接受更長遠的分散式拒絕服務（DDoS ）攻擊的指示。最後，DDoS攻擊製造TCP洪流令系統癱瘓。某些Slapper病毒的變異體還會掃描整個B類網路尋找易攻擊的Apache伺服器。

另一種蠕蟲，Linux Lion worm，掃描任意的B類網路裡的53埠，從而找出易受攻擊版本的BIND——最流行的Linux/UNIX DNS伺服器。當Linux Lion worm找到一個易受攻擊版本的BIND之後，它清除日誌檔案，接著種植各種木馬檔案以隱藏它的企圖。Linux Lion worm可能安裝的木馬檔案有：

/bin/in.telnetd

/bin/mjy

/bin/ps

/bin/netstat

/bin/ls

/etc/inetd.conf

/sbin/ifconfig

/usr/bin/find

/usr/sbin/nscd

/usr/sbin/in.fingerd

/usr/bin/top

/usr/bin/du

你可以看到，這些檔案看起來是合法的UNIX檔案，因此你可能懷疑你的第一眼所見，但這就是木馬的關鍵所在。

要掩蓋它的足跡， Linux Lion可能會刪除以下檔案：

/.bash_history

/etc/hosts.deny

/root/.bash_history

/var/log/messages

/var/log/maillog

一旦已經對系統構成威脅，Lion會把密碼檔案傳送給遠端的計算機，其他Lion 的變種可以透過嗅探器來嗅探活動連線中的密碼資訊。透過獲得系統訪問許可權，病毒駭客們能利用遠端系統進行DDoS攻擊，竊取信用卡號，或者竊取和破壞機密檔案、紀錄。

Linux/UNIX的防毒產品

自從Linux成為最流行的UNIX平臺之一以後，大多數為UNIX系統所編寫的病毒瞄準了Linux平臺。然而，一些廠商同樣有一些非主流UNIX平臺的軟體包。如果你的單位正在使用Solaris、FreeBSD，或者其他版本的UNIX，不要期待找到很多防毒的選擇。明顯的，Linux/UNIX平臺上的防毒軟體正在蔓延，在教育，只有一部分廠商提供了Linux/UNIX 平臺的軟體產品。這些廠商包括：

Computer Associates

F-Secure

Kaspersky

Sophos

Symantec

Trend Micro

一些UNIX防毒產品被特別的設計安裝在防火牆之上，因此你可以在UNIX病毒侵害其他系統之前將其攔截在防火牆上。另外的一些UNIX防毒產品被特別的設計在訊息和群件伺服器上。

保護你的系統不受自動化的駭客行為所侵害

病毒、蠕蟲和木馬基本上意味著自動化的駭客行為，也許被病毒攻擊比被駭客攻擊更可能發生。直接的駭客攻擊目標一般是伺服器，而病毒是等機會的麻煩製造者。如果你的網路包含了Linux或UNIX系統，特別危險的是伺服器，不要在作出反應之前等待尋找UNIX病毒、蠕蟲和木馬是否存在。做一些調查然後選擇一個適合你係統的防毒產品，它們能幫你防止病毒的傳播