一��、Linux病毒簡介
隨著Linux應用的日益廣泛��,有大量的網絡服務器使用Linux操作系統(tǒng)��。由于Linux的桌面應用和Windows相比還有一定的差距��,所以在企業(yè)應用中往往是Linux和Windows操作系統(tǒng)共存形成異構網絡��。在服務器端大多使用Linux和Unix的��,桌面端使用Windows XP��、Vista��。Linux操作系統(tǒng)一直被認為是Windows系統(tǒng)的勁敵��,因為它不僅安全��、穩(wěn)定��、成本低��,而且很少發(fā)現有病毒傳播��。但是��,隨著越來越多的服務器��、工作站和個人電腦使用Linux軟件��,電腦病毒制造者也開始攻擊這一系統(tǒng)��。對于linux系統(tǒng)無論是服務器��,還是工作站的安全性和權限控制都是比較強大的��,這主要得力于其優(yōu)秀的技術設計��,不僅使它的作業(yè)系統(tǒng)難以宕機��,而且也使其難以被濫用��。Unix經過20多年的發(fā)展和完善��,已經變得非常堅固,而Linux基本上繼承了它的優(yōu)點��。在Linux里��,如果不是超級用戶��,那么惡意感染系統(tǒng)文件的程序將很難得逞��。當然��,這并不是說Linux就無懈可擊��,病毒從本質上來說是一種二進制的可執(zhí)行的程序��。速客一號(Slammer)��、沖擊波(Blast)��、霸王蟲(Sobig)��、 米蟲(Mimail)��、勞拉(Win32.Xorala)病毒等惡性程序雖然不會損壞Linux服務器��,但是卻會傳播給訪問它的Windows系統(tǒng)平臺的計算機��。
Linux平臺下的病毒分類:
1��、可執(zhí)行文件型病毒:可執(zhí)行文件型病毒是指能夠寄生在文件中的��,以文件為主要感染對象的病毒��。病毒制造者們無論使用什么武器��,匯編或者C��,要感染ELF文件都是輕而易舉的事情��。這方面的病毒有Lindose��。
2��、蠕蟲(worm)病毒:1988年Morris蠕蟲爆發(fā)后��,Eugene H. Spafford 為了區(qū)分蠕蟲和病毒��,給出了蠕蟲的技術角度的定義��,"計算機蠕蟲可以獨立運行��,并能把自身的一個包含所有功能的版本傳播到另外的計算機上��。"在Linux平臺下,蠕蟲病毒極為猖獗��,像利用系統(tǒng)漏洞進行傳播的ramen��,lion��,Slapper等��,這些病毒都感染了大量的Linux系統(tǒng)��,造成了巨大的損失��。
3��、腳本病毒:目前出現比較多的是使用shell腳本語言編寫的病毒��。此類病毒編寫較為簡單��,但是破壞力同樣驚人��。我們知道��,Linux系統(tǒng)中有許多的以.sh結尾的腳本文件��,而一個短短十數行的shell腳本就可以在短時間內遍歷整個硬盤中的所有腳本文件��,進行感染��。
4��、后門程序:在廣義的病毒定義概念中��,后門也已經納入了病毒的范疇����;钴S在Windows系統(tǒng)中的后門這一入侵者的利器在Linux平臺下同樣極為活躍��。從增加系統(tǒng)超級用戶賬號的簡單后門��,到利用系統(tǒng)服務加載��,共享庫文件注射��,rootkit工具包��,甚至可裝載內核模塊(LKM)��,Linux平臺下的后門技術發(fā)展非常成熟��,隱蔽性強��,難以清除。是Linux系統(tǒng)管理員極為頭疼的問題��。
二��、Linux 服務器病毒防范策略
綜合以上介紹��,可以看到總體來說計算機病毒對Linux系統(tǒng)存在較小的危險��。但是由于各種原因在企業(yè)應用中往往是Linux和Windows操作系統(tǒng)共存形成異構網絡��。在服務器端大多使用Linux和Unix的��,桌面端使用Windows ��。所以為Linux的防范病毒策略分成幾個部分:
可執(zhí)行文件型病毒��、蠕蟲(worm)病毒��、腳本病毒的防范通過安裝GPL查殺病毒軟件基本可以防范��。服務器端可以使用avast! for Linux/Unix Servers它是工作在命令行下的��,運行時可以較少占用系統(tǒng)資源��。工作站用戶可以選擇avast! Linux Home Edition��,可以運行在任何X-Windows環(huán)境下面��,比如KDE或Gnome等��。對于后門程序防范可以采用LIDS(https://www.lids.org/ )和Chkrootkit(https://www.chkrootkit.org/ )��,LIDS是Linux內核補丁和系統(tǒng)管理員工具(lidsadm)��,它加強了Linus內核����?梢员Wodev/目錄下的重要文件��。而Chkrootkit可以檢測系統(tǒng)的日志和文件��,查看是否有惡意程序侵入系統(tǒng)��,并且尋找關聯(lián)到不同惡意程序的信號��。最新版本的Chkrootkit0.48可以檢測出sniffers��、Trojans��、worms��、rootkit等59種。代理服務器squid是一款非常優(yōu)秀的代理服務器軟件��,但是并沒有專門的病毒過濾功能����?梢钥紤]使用德國開放源碼愛好者開發(fā)的一款基于Linux的病毒過濾代理服務器——HAVP(https://www.server-side.de/ )��。HAVP病毒過濾代理服務器軟件既可以獨立使用��,也可以與Squid串聯(lián)使用��,增強Squid代理服務器的病毒過濾功能��。提供郵件服務是Linux服務器中重要應用����?梢允褂肅lamAV(https://www.clamwin.com/ )��,ClamAV 全名是 Clam AntiVirus��,它跟Liunx一樣強調公開程序代碼�、免費授權等觀念�,ClamAV 目前可以偵測超過40,000 種病毒�、蠕蟲�、木馬程序,并且隨時更新數據庫�,有一組分布在世界各地的病毒專家,24小時更新及維護病毒數據庫�,任何人發(fā)現可疑病毒也可以隨時跟她們取得 聯(lián)系,立刻更新病毒碼�,在極短的時間內,網絡上采用ClamAV的郵件服務器就完成最新的防護動作�。
另外在Linux服務器上推薦使用命令行防病毒工具,雖然Linux桌面應用發(fā)展很快�,但是命令行(shell)在Linux中依然有很強的生命力。即使在X Window下�,系統(tǒng)管理員經常也要與命令行打交道,使用鍵盤次數要明顯高于鼠標�。對于Linux系統(tǒng)管理員來說,在命令行下操作的重要性是不言而喻的�。因為啟動X—Window管理器將會消耗大量系統(tǒng)資源。
三�、安裝配置
Linux 平臺:包括所有 Linux 分發(fā)版本 (只限 x86 平臺) 帶 GLIBC 版本 2.1 或者更高的并且已安裝pthreads庫 ,486 處理器 (Pentium 或者建議更高的) �,32 MB RAM (建議 64 MB )系統(tǒng)要求:100兆硬盤空間。
說明:可以使用命令查看 glibc 版本:rpm -qa | grep glibc�,glibc 版本必須比大等于 2.1.4-25 。Glibc 是提供系統(tǒng)調用和基本函數的 C 庫,比如open, malloc, printf等等�。所有動態(tài)連接的程序都要用到它。Linux下最常用的多線程支持庫為Pthread庫�,它是glibc庫的組成部分。
avast! for Linux/Unix Servers 官方網址:https://www.avast.com/cns/company.html �,是著名的捷克殺毒軟件。
主要特點:
擁有 avast! 殺毒內核的avast! for Linux/Unix 殺毒套裝是專為 UNIX-like 作業(yè)系統(tǒng)而設的.此套裝由命令行掃描器,相當于守護程序的常駐掃描器,和訪問常駐掃描器的客戶端組成.
avast! For Linux 的殺毒內核跟 Windows 系統(tǒng)的是完全一樣的, 那就是說,Linux 版本包含所有Windows殺毒內核的尖端功能. 最新版本的 avast! 殺毒內核擁有突出的查殺效能, 而且性能相當高,它可以檢測出100%的流行病毒(已經在用戶之間傳播的病毒).還有出色的檢測木馬病毒功能和極低的誤報率. 此內核通過 ICSA 實驗室認證; 而且經常參加 Virus Bulletin 雜志的測試, 屢次獲得 vb100 獎項. 像Windows版本的 avast! 一樣 , avast! 的 Linux 殺毒引擎有突出的解壓功能. 它可以掃描, MAPI, CAB, ACE, CHM, 7Zip 和 NTFS 流. 而且還可以掃描以下的壓縮文檔: ARJ, ZIP, MIME (+ 所有組合格式), DBX (outlook Express 壓縮檔), RAR, TAR, GZIP, BZIP2, ZOO, ARC, LHA/LHX, TNEF (winmail.dat), CPIO, RPM, ISO, 和 SIS. 另外它還支持一些可執(zhí)行壓縮器 (例如 PKLite, Diet, UPX, AsPack, PeShield, PeProtect, FSG 和 MEW).
病毒防護的另外一個關鍵是病毒數據庫的更新. 當前版本并未采用增量式更新. 當病毒定義文件被更改整個 VPS 文件需要被新文件取替.
經驗豐富的用戶欣賞典型的從命令行控制的手動掃描器, . 它允許掃描指定目錄里面的文件和本地及遠程卷. 當然命令行掃描器還可掃描通過網絡掛載的卷. 程序是非常靈活的; 它可以接收大量參數指令. 它還能夠創(chuàng)建大量供分析用的報告文件. 掃描器能夠在 STDIN/STDOUT 模式運作,把它用作管道過濾器. 這個模式主要是在shell腳本上使用的.
殺毒daemon在后臺運作.第三方應用程序可通過UNIX sockets訪問殺毒daemon.Daemon可在指定用戶的指定目錄內使用.安裝套裝包括安裝訪問殺毒daemon的客戶端.
1. 軟件下載安裝
#wget https://files.avast.com/files/linux/libavastengine-4.7.1-1.i586.rpm
#rpm –ivh libavastengine-4.7.1-1.i586.rpm
#wget https://files.avast.com/files/linux/avast4server-3.0.1-1.i586.rpm
#rpm –ivh avast4server-3.0.1-1.i586.rpm |
注意安裝順序�,默認軟件包安裝在/var/lib/avast4 目錄下。另外注意: 程序需要一個有效的注冊號才能正常運作�,可在https://www.avast.com/cns/linux-server-demo-license.php 請求獲得。
2. 查看avast手冊頁
avast是命令行下工作軟件�,軟件提供請詳細的手冊頁面。使用前請詳細閱讀�。avast的手冊頁面如圖1 。
圖1 avast的手冊頁面
首先把獲得許可證文件拷貝到:/var/lib/avast4 目錄�。
用小工具巧殺計算機病毒
Windows 17年的老漏洞(VDM 0day)須警惕
光驅也瘋狂 Autorun病毒冒充文件夾
謹防.URL擴展名病毒