Linux防毒之道:多方入手剿殺Linux病毒

　　人們對Windows中的病毒已經(jīng)習以為常，殺毒軟件也基本針對這一領(lǐng)域，但卻不了解Linux系統是否會(huì )染毒，隨著(zhù)Linux的用戶(hù)日益增多，Linux的防毒問(wèn)題日益凸顯。

　　當心Linux病毒

　　Linux出現之初，其最初的設計似乎具有先天的病毒免疫能力，所以當時(shí)有許多人相信不會(huì )有針對Linux的病毒出現。但事實(shí)證明，Linux并非樂(lè )土，不能例外。1996年秋，澳大利亞一個(gè)叫VLAD的組織用匯編語(yǔ)言編寫(xiě)了據稱(chēng)是Linux系統下的第一個(gè)病毒DDStaog，它專(zhuān)門(mén)感染二進(jìn)制文件，并通過(guò)三種方式去嘗試得到root權限。當然，設計Staog病毒只是為了演示和證明Linux有被病毒感染的潛在危險，它并沒(méi)有對感染的系統進(jìn)行任何損壞行動(dòng)。

　　2001年，一個(gè)名為Ramen的Linux蠕蟲(chóng)病毒出現了。Ramen病毒可以自動(dòng)傳播，無(wú)需人工干預，雖然它沒(méi)有對服務(wù)器進(jìn)行任何破壞，但是它在傳播時(shí)的掃描行為會(huì )消耗大量的網(wǎng)絡(luò )帶寬。Ramen病毒是利用了Linux某些版本(Redhat6.2和7.0)的rpc.statd和wu-FTP這兩個(gè)安全漏洞進(jìn)行傳播的。

　　同年，另一個(gè)針對Linux的蠕蟲(chóng)病毒Lion則造成了實(shí)際的危害。當時(shí)Lion通過(guò)互聯(lián)網(wǎng)迅速蔓延，并給部分用戶(hù)的電腦系統造成了嚴重破壞。Lion病毒能通過(guò)電子郵件把一些密碼和配置文件發(fā)送到互聯(lián)網(wǎng)上的某個(gè)郵箱中，攻擊者在收集到這些文件后就可能通過(guò)第一次突破時(shí)的缺口再次進(jìn)入整個(gè)系統，進(jìn)行更進(jìn)一步的破壞活動(dòng)，比如獲取機密信息、安裝后門(mén)等。當Linux系統感染了這個(gè)病毒后，很有可能因為不能判斷入侵者如何改動(dòng)了系統而選擇重新格式化硬盤(pán)。而且，一臺Linux主機在感染了Lion病毒后就會(huì )自動(dòng)開(kāi)始在互聯(lián)網(wǎng)上搜尋別的受害者。事后的反饋表明，Lion病毒給許多Linux用戶(hù)造成了嚴重的損失。

　　其他Linux平臺下病毒還有OSF.8759、Slapper、Scalper、Unux.Svat和BoXPoison等，當然，大多數普通的Linux用戶(hù)幾乎沒(méi)有遇到過(guò)它們。這是因為直到目前，Linux上的病毒還非常少，影響的范圍也很小。但隨著(zhù)Linux用戶(hù)的增加，越來(lái)越多的Linux系統連接到局域網(wǎng)和廣域網(wǎng)上，自然增加了受攻擊的可能?？梢灶A見(jiàn)，未來(lái)會(huì )有越來(lái)越多的Linux病毒出現。因此，如何防范Linux病毒就成為每個(gè)Linux用戶(hù)應該開(kāi)始注意的事情了。

　　抓住弱點(diǎn)，個(gè)個(gè)擊破

　　Linux的用戶(hù)也許聽(tīng)說(shuō)甚至遇到過(guò)一些Linux病毒，這些Linux病毒的原理和發(fā)作癥狀各不相同，所以采取的防范方法也各不相同。為了更好地防范Linux病毒，我們先對已知的一些Linux病毒進(jìn)行分類(lèi)。

　　從目前出現的Linux病毒來(lái)看，可以歸納為以下幾個(gè)類(lèi)型：

　　1.感染ELF格式文件的病毒

　　這類(lèi)病毒以ELF格式的文件為主要感染目標，通過(guò)匯編或者C語(yǔ)言可以寫(xiě)出能感染ELF文件的病毒。Lindose病毒就是一種能感染ELF文件的病毒，當它發(fā)現一個(gè)ELF文件時(shí)，將檢查被感染的機器類(lèi)型。如果查找到匹配的類(lèi)型，則查找該文件中是否有一部分大于2784字節(或十六進(jìn)制AEO)，如果有，病毒就會(huì )用自身代碼覆蓋它并添加宿主文件的相應部分的代碼，同時(shí)將宿主文件的入口點(diǎn)指向病毒代碼部分。

　　防范：由于Linux下有良好的權限控制機制，所以這類(lèi)病毒要有足夠的權限才能進(jìn)行傳播。在防范此類(lèi)病毒時(shí)，我們要注意管理好自己Linux系統中的各種文件的權限，特別要注意的是在做日常操作時(shí)不要使用root賬號，最好不要以root身份運行來(lái)歷不明的可執行文件，以免無(wú)意中觸發(fā)了含病毒的文件從而傳染到整個(gè)系統中。

　　2.腳本病毒

　　腳本病毒是指使用shell等腳本語(yǔ)言編寫(xiě)的病毒。此類(lèi)病毒編寫(xiě)較為簡(jiǎn)單，不需要具有很高深的知識，很容易就實(shí)現對系統進(jìn)行破壞，比如刪除文件、破壞系統正常運行、甚至下載安裝木馬等。但它傳播性不強，通常是在本機上造成破壞。

　　防范：防范此類(lèi)病毒也是要注意不要隨便運行來(lái)源不明的腳本，同時(shí)，要嚴格控制對root權限的使用。

　　3.蠕蟲(chóng)病毒

　　Linux下的蠕蟲(chóng)病毒與Windows下的蠕蟲(chóng)病毒類(lèi)似，可以獨立運行，并將自身傳播到另外的計算機上去。

　　在Linux平臺下的蠕蟲(chóng)病毒通常利用一些Linux系統和服務(wù)的漏洞來(lái)進(jìn)行傳播，比如，Ramen病毒就是利用了Linux某些版本(Redhat6.2和7.0)的rpc.statd和wu-ftp這兩個(gè)安全漏洞進(jìn)行傳播的。

　　防范：防范此類(lèi)病毒要堵住蠕蟲(chóng)病毒發(fā)作的源頭，從已經(jīng)出現的幾個(gè)Linux病毒爆發(fā)事件來(lái)看，它們都是利用了Linux已經(jīng)公布了的幾個(gè)安全漏洞，如果用戶(hù)及時(shí)采取了對應的安全措施就不會(huì )受到它們的影響。不過(guò)遺憾的是，許多Linux的管理員并沒(méi)有緊密跟蹤與自己系統和服務(wù)相關(guān)的最新信息，所以還是給病毒以可乘之機。

　　所以，用戶(hù)要做好本機的安全工作，特別要關(guān)心Linux的安全漏洞信息，一旦有新的Linux安全漏洞出現，就要及時(shí)采取安全措施。此外，還可以配合防火墻規則來(lái)限制蠕蟲(chóng)病毒的傳播。

　　4.后門(mén)程序

　　后門(mén)程序也可以被看成廣義的病毒，在Linux平臺上也非?；钴S。Linux后門(mén)利用系統服務(wù)加載、共享庫文件注射、rootkit工具包，甚至可裝載內核模塊(LKM)等技術(shù)來(lái)實(shí)現，許多Linux平臺下的后門(mén)技術(shù)與入侵技術(shù)相結合，非常隱蔽，難以清除。

　　防范：防范此類(lèi)病毒可以借助一些軟件來(lái)進(jìn)行，有一些軟件可以幫助用戶(hù)找出系統中的各種后門(mén)程序，比如chkrootkitR、rootkits等可以發(fā)現蠕蟲(chóng)、后門(mén)等。

　　5.其他病毒

　　在Linux平臺上除了面對針對Linux的病毒之外，還要注意到許多Windows病毒會(huì )存在于Linux的文件系統中，當然，這類(lèi)Windows病毒不會(huì )在Linux中發(fā)作，但它們可有機會(huì )被傳遞到Windows系統中。

　　比如，Linux的Samba服務(wù)器可以作為整個(gè)網(wǎng)絡(luò )中的文件服務(wù)器，當有用戶(hù)將含有Windows病毒的文件上傳到Samba服務(wù)器后，Samba服務(wù)器就成為一個(gè)病毒攜帶者，雖然它本身不會(huì )感染這種Windows病毒，但是其他訪(fǎng)問(wèn)過(guò)Samba服務(wù)的Windows系統就有可能從中感染病毒。

　　防范：為了整體的安全，在Linux系統中也需要能查找和殺除Windows病毒。這就需要使用一些專(zhuān)門(mén)的反病毒軟件?，F在，已經(jīng)有一些開(kāi)放源碼軟件和商業(yè)軟件可供用戶(hù)選擇了，而且其數量正在逐漸增加。

　　多方入手，剿殺Linux病毒

　　與Windows的病毒相比，從數量上看，Linux的病毒幾乎可以忽略不計，但是Linux病毒的制造者們并不會(huì )停止，他們多是一些精通編寫(xiě)代碼的黑客，Linux自身不可避免地存在的脆弱點(diǎn)很有可能會(huì )被他們利用編寫(xiě)出各式各樣的新Linux病毒來(lái)。雖然，Linux病毒還沒(méi)有開(kāi)始泛濫，但如果毫無(wú)防范意識的話(huà)，一旦某個(gè)Linux病毒暴發(fā)，就很可能造成嚴重的后果。所以L(fǎng)inux用戶(hù)應該及早重視Linux病毒問(wèn)題。