一�����、Linux病毒簡(jiǎn)介?
?
隨著Linux應(yīng)用的日益廣泛�����,有大量的網(wǎng)絡(luò)服務(wù)器使用Linux操作系統(tǒng)�����。由于Linux的桌面應(yīng)用和Windows相比還有一定的差距�����,所以在企業(yè)應(yīng)用中往往是Linux和Windows操作系統(tǒng)共存形成異構(gòu)網(wǎng)絡(luò)�����。在服務(wù)器端大多使用Linux和Unix的�����,桌面端使用Windows?XP�����、Vista�����。Linux操作系統(tǒng)一直被認(rèn)為是Windows系統(tǒng)的勁敵�����,因?yàn)樗粌H安全�����、穩(wěn)定、成本低�����,而且很少發(fā)現(xiàn)有病毒傳播。但是�����,隨著越來(lái)越多的服務(wù)器�����、工作站和個(gè)人電腦使用Linux軟件�����,電腦病毒制造者也開始攻擊這一系統(tǒng)�����。對(duì)于Linux系統(tǒng)無(wú)論是服務(wù)器,還是工作站的安全性和權(quán)限控制都是比較強(qiáng)大的�����,這主要得力于其優(yōu)秀的技術(shù)設(shè)計(jì)�����,不僅使它的作業(yè)系統(tǒng)難以宕機(jī)�����,而且也使其難以被濫用�����。Unix經(jīng)過20多年的發(fā)展和完善�����,已經(jīng)變得非常堅(jiān)固�����,而Linux基本上繼承了它的優(yōu)點(diǎn)�����。在Linux里�����,如果不是超級(jí)用戶�����,那么惡意感染系統(tǒng)文件的程序?qū)⒑茈y得逞�����。當(dāng)然,這并不是說(shuō)Linux就無(wú)懈可擊�����,病毒從本質(zhì)上來(lái)說(shuō)是一種二進(jìn)制的可執(zhí)行的程序�����。速客一號(hào)(Slammer)�����、沖擊波(Blast)、霸王蟲(Sobig)�����、?米蟲(Mimail)、勞拉(Win32.Xorala)病毒等惡性程序雖然不會(huì)損壞Linux服務(wù)器�����,但是卻會(huì)傳播給訪問它的Windows系統(tǒng)平臺(tái)的計(jì)算機(jī)�����。
Linux平臺(tái)下的病毒分類:
1�����、可執(zhí)行文件型病毒:可執(zhí)行文件型病毒是指能夠寄生在文件中的�����,以文件為主要感染對(duì)象的病毒�����。病毒制造者們無(wú)論使用什么武器�����,匯編或者C�����,要感染ELF文件都是輕而易舉的事情�����。這方面的病毒有Lindose�����。
2、蠕蟲(worm)病毒:1988年Morris蠕蟲爆發(fā)后�����,Eugene?H.?Spafford?為了區(qū)分蠕蟲和病毒�����,給出了蠕蟲的技術(shù)角度的定義�����,"計(jì)算機(jī)蠕蟲可以獨(dú)立運(yùn)行�����,并能把自身的一個(gè)包含所有功能的版本傳播到另外的計(jì)算機(jī)上�����。"在Linux平臺(tái)下�����,蠕蟲病毒極為猖獗�����,像利用系統(tǒng)漏洞進(jìn)行傳播的ramen,lion�����,Slapper等�����,這些病毒都感染了大量的Linux系統(tǒng)�����,造成了巨大的損失�����。
3�����、腳本病毒:目前出現(xiàn)比較多的是使用shell腳本語(yǔ)言編寫的病毒�����。此類病毒編寫較為簡(jiǎn)單�����,但是破壞力同樣驚人�����。我們知道�����,Linux系統(tǒng)中有許多的以.sh結(jié)尾的腳本文件�����,而一個(gè)短短十?dāng)?shù)行的shell腳本就可以在短時(shí)間內(nèi)遍歷整個(gè)硬盤中的所有腳本文件�����,進(jìn)行感染�����。
4�����、后門程序:在廣義的病毒定義概念中�����,后門也已經(jīng)納入了病毒的范疇�����?����;钴S在Windows系統(tǒng)中的后門這一入侵者的利器在Linux平臺(tái)下同樣極為活躍�����。從增加系統(tǒng)超級(jí)用戶賬號(hào)的簡(jiǎn)單后門�����,到利用系統(tǒng)服務(wù)加載�����,共享庫(kù)文件注射�����,rootkit工具包�����,甚至可裝載內(nèi)核模塊(LKM)�����,Linux平臺(tái)下的后門技術(shù)發(fā)展非常成熟,隱蔽性強(qiáng)�����,難以清除�����。是Linux系統(tǒng)管理員極為頭疼的問題�����。
二�����、Linux 服務(wù)器病毒防范策略
綜合以上介紹,可以看到總體來(lái)說(shuō)計(jì)算機(jī)病毒對(duì)Linux系統(tǒng)存在較小的危險(xiǎn)�����。但是由于各種原因在企業(yè)應(yīng)用中往往是Linux和Windows操作系統(tǒng)共存形成異構(gòu)網(wǎng)絡(luò)�����。在服務(wù)器端大多使用Linux和Unix的�����,桌面端使用Windows �����。所以為L(zhǎng)inux的防范病毒策略分成幾個(gè)部分:
可執(zhí)行文件型病毒�����、蠕蟲(worm)病毒�����、腳本病毒的防范通過安裝GPL查殺病毒軟件基本可以防范。服務(wù)器端可以使用avast! for Linux/Unix Servers它是工作在命令行下的�����,運(yùn)行時(shí)可以較少占用系統(tǒng)資源�����。工作站用戶可以選擇avast! Linux Home Edition�����,可以運(yùn)行在任何X-Windows環(huán)境下面�����,比如KDE或Gnome等�����。對(duì)于后門程序防范可以采用LIDS(http://www.lids.org/ )和Chkrootkit(http://www.chkrootkit.org/ ),LIDS是Linux內(nèi)核補(bǔ)丁和系統(tǒng)管理員工具(lidsadm)�����,它加強(qiáng)了Linus內(nèi)核�����?����?梢员Wo(hù)dev/目錄下的重要文件�����。而Chkrootkit可以檢測(cè)系統(tǒng)的日志和文件�����,查看是否有惡意程序侵入系統(tǒng)�����,并且尋找關(guān)聯(lián)到不同惡意程序的信號(hào)�����。最新版本的Chkrootkit0.48可以檢測(cè)出sniffers�����、Trojans、worms�����、rootkit等59種。代理服務(wù)器squid是一款非常優(yōu)秀的代理服務(wù)器軟件�����,但是并沒有專門的病毒過濾功能�����?����?梢钥紤]使用德國(guó)開放源碼愛好者開發(fā)的一款基于Linux的病毒過濾代理服務(wù)器——HAVP(http://www.server-side.de/ )�����。HAVP病毒過濾代理服務(wù)器軟件既可以獨(dú)立使用�����,也可以與Squid串聯(lián)使用�����,增強(qiáng)Squid代理服務(wù)器的病毒過濾功能。提供郵件服務(wù)是Linux服務(wù)器中重要應(yīng)用�����?����?梢允褂肅lamAV(http://www.clamwin.com/ )�����,ClamAV 全名是 Clam AntiVirus�����,它跟Liunx一樣強(qiáng)調(diào)公開程序代碼�����、免費(fèi)授權(quán)等觀念�����,ClamAV 目前可以偵測(cè)超過40,000 種病毒、蠕蟲�����、木馬程序�����,并且隨時(shí)更新數(shù)據(jù)庫(kù)�����,有一組分布在世界各地的病毒專家�����,24小時(shí)更新及維護(hù)病毒數(shù)據(jù)庫(kù)�����,任何人發(fā)現(xiàn)可疑病毒也可以隨時(shí)跟她們?nèi)〉?聯(lián)系�����,立刻更新病毒碼�����,在極短的時(shí)間內(nèi)�����,網(wǎng)絡(luò)上采用ClamAV的郵件服務(wù)器就完成最新的防護(hù)動(dòng)作�����。
另外在Linux服務(wù)器上推薦使用命令行防病毒工具�����,雖然Linux桌面應(yīng)用發(fā)展很快�����,但是命令行(shell)在Linux中依然有很強(qiáng)的生命力�����。即使在X Window下�����,系統(tǒng)管理員經(jīng)常也要與命令行打交道,使用鍵盤次數(shù)要明顯高于鼠標(biāo)�����。對(duì)于Linux系統(tǒng)管理員來(lái)說(shuō)�����,在命令行下操作的重要性是不言而喻的�����。因?yàn)閱?dòng)X—Window管理器將會(huì)消耗大量系統(tǒng)資源�����。
???? 三�����、安裝配置
Linux 平臺(tái):包括所有 Linux 分發(fā)版本 (只限 x86 平臺(tái)) 帶 GLIBC 版本 2.1 或者更高的并且已安裝pthreads庫(kù) �����,486 處理器 (Pentium 或者建議更高的) �����,32 MB RAM (建議 64 MB )系統(tǒng)要求:100兆硬盤空間�����。
說(shuō)明:可以使用命令查看 glibc 版本:rpm -qa | grep glibc�����,glibc 版本必須比大等于 2.1.4-25 �����。Glibc 是提供系統(tǒng)調(diào)用和基本函數(shù)的 C 庫(kù)�����,比如open, malloc, printf等等�����。所有動(dòng)態(tài)連接的程序都要用到它�����。Linux下最常用的多線程支持庫(kù)為Pthread庫(kù)�����,它是glibc庫(kù)的組成部分�����。
avast! for Linux/Unix Servers 官方網(wǎng)址:http://www.avast.com/cns/company.html ,是著名的捷克殺毒軟件�����。
主要特點(diǎn):
擁有 avast! 殺毒內(nèi)核的avast! for Linux/Unix 殺毒套裝是專為 UNIX-like 作業(yè)系統(tǒng)而設(shè)的.此套裝由命令行掃描器,相當(dāng)于守護(hù)程序的常駐掃描器,和訪問常駐掃描器的客戶端組成.
avast! For Linux 的殺毒內(nèi)核跟 Windows 系統(tǒng)的是完全一樣的, 那就是說(shuō),Linux 版本包含所有Windows殺毒內(nèi)核的尖端功能. 最新版本的 avast! 殺毒內(nèi)核擁有突出的查殺效能, 而且性能相當(dāng)高,它可以檢測(cè)出100%的流行病毒(已經(jīng)在用戶之間傳播的病毒).還有出色的檢測(cè)木馬病毒功能和極低的誤報(bào)率. 此內(nèi)核通過 ICSA 實(shí)驗(yàn)室認(rèn)證; 而且經(jīng)常參加 Virus Bulletin 雜志的測(cè)試, 屢次獲得 VB100 獎(jiǎng)項(xiàng). 像Windows版本的 avast! 一樣 , avast! 的 Linux 殺毒引擎有突出的解壓功能. 它可以掃描, MAPI, CAB, ACE, CHM, 7ZIP 和 NTFS 流. 而且還可以掃描以下的壓縮文檔: ARJ, ZIP, MIME (+ 所有組合格式), DBX (Outlook Express 壓縮檔), RAR, TAR, GZIP, BZIP2, ZOO, ARC, LHA/LHX, TNEF (winmail.dat), CPIO, RPM, ISO, 和 SIS. 另外它還支持一些可執(zhí)行壓縮器 (例如 PKLite, Diet, UPX, AsPack, PeShield, PeProtect, FSG 和 MEW).
病毒防護(hù)的另外一個(gè)關(guān)鍵是病毒數(shù)據(jù)庫(kù)的更新. 當(dāng)前版本并未采用增量式更新. 當(dāng)病毒定義文件被更改整個(gè) VPS 文件需要被新文件取替.
經(jīng)驗(yàn)豐富的用戶欣賞典型的從命令行控制的手動(dòng)掃描器, . 它允許掃描指定目錄里面的文件和本地及遠(yuǎn)程卷. 當(dāng)然命令行掃描器還可掃描通過網(wǎng)絡(luò)掛載的卷. 程序是非常靈活的; 它可以接收大量參數(shù)指令. 它還能夠創(chuàng)建大量供分析用的報(bào)告文件. 掃描器能夠在 STDIN/STDOUT 模式運(yùn)作,把它用作管道過濾器. 這個(gè)模式主要是在shell腳本上使用的.
殺毒daemon在后臺(tái)運(yùn)作.第三方應(yīng)用程序可通過UNIX sockets訪問殺毒daemon.Daemon可在指定用戶的指定目錄內(nèi)使用.安裝套裝包括安裝訪問殺毒daemon的客戶端.
1. 軟件下載安裝
????? #wget?http://files.avast.com/files/linux/libavastengine-4.7.1-1.i586.rpm
#rpm?–ivh?libavastengine-4.7.1-1.i586.rpm
#wget?http://files.avast.com/files/linux/avast4server-3.0.1-1.i586.rpm
#rpm?–ivh?avast4server-3.0.1-1.i586.rpm |
注意安裝順序�����,默認(rèn)軟件包安裝在/var/lib/avast4 目錄下�����。另外注意: 程序需要一個(gè)有效的注冊(cè)號(hào)才能正常運(yùn)作�����,可在http://www.avast.com/cns/linux-server-demo-license.php 請(qǐng)求獲得�����。
2. 查看avast手冊(cè)頁(yè)
avast是命令行下工作軟件,軟件提供請(qǐng)?jiān)敿?xì)的手冊(cè)頁(yè)面�����。使用前請(qǐng)?jiān)敿?xì)閱讀�����。avast的手冊(cè)頁(yè)面如圖1 �����。
圖1 avast的手冊(cè)頁(yè)面
首先把獲得許可證文件拷貝到:/var/lib/avast4 目錄�����。
