一����、Linux病毒簡介
隨著Linux應用的日益廣泛���,有大量的網(wǎng)絡服務器使用Linux操作系統(tǒng)。由于Linux的桌面應用和Windows相比還有一定的差距��,所以在企業(yè)應用中往往是Linux和Windows操作系統(tǒng)共存形成異構網(wǎng)絡�����。在服務器端大多使用Linux和Unix的���,桌面端使用Windows XP�、Vista�。Linux操作系統(tǒng)一直被認為是Windows系統(tǒng)的勁敵,因為它不僅安全�、穩(wěn)定����、成本低�,而且很少發(fā)現(xiàn)有病毒傳播。但是�,隨著越來越多的服務器、工作站和個人電腦使用Linux軟件��,電腦病毒制造者也開始攻擊這一系統(tǒng)���。對于Linux系統(tǒng)無論是服務器��,還是工作站的安全性和權限控制都是比較強大的��,這主要得力于其優(yōu)秀的技術設計����,不僅使它的作業(yè)系統(tǒng)難以宕機�����,而且也使其難以被濫用��。Unix經(jīng)過20多年的發(fā)展和完善�,已經(jīng)變得非常堅固����,而Linux基本上繼承了它的優(yōu)點�����。在Linux里�,如果不是超級用戶,那么惡意感染系統(tǒng)文件的程序將很難得逞�����。當然��,這并不是說Linux就無懈可擊���,病毒從本質上來說是一種二進制的可執(zhí)行的程序。速客一號(Slammer)����、沖擊波(Blast)、霸王蟲(Sobig)�、 米蟲(Mimail)、勞拉(Win32.Xorala)病毒等惡性程序雖然不會損壞Linux服務器���,但是卻會傳播給訪問它的Windows系統(tǒng)平臺的計算機��。
Linux平臺下的病毒分類:
1����、可執(zhí)行文件型病毒:可執(zhí)行文件型病毒是指能夠寄生在文件中的,以文件為主要感染對象的病毒����。病毒制造者們無論使用什么武器,匯編或者C�,要感染ELF文件都是輕而易舉的事情。這方面的病毒有Lindose�����。
2�、蠕蟲(worm)病毒:1988年Morris蠕蟲爆發(fā)后,Eugene H. Spafford 為了區(qū)分蠕蟲和病毒���,給出了蠕蟲的技術角度的定義�,“計算機蠕蟲可以獨立運行�,并能把自身的一個包含所有功能的版本傳播到另外的計算機上。”在Linux平臺下�����,蠕蟲病毒極為猖獗,像利用系統(tǒng)漏洞進行傳播的ramen����,lion,Slapper等����,這些病毒都感染了大量的Linux系統(tǒng),造成了巨大的損失�。
3、腳本病毒:目前出現(xiàn)比較多的是使用shell腳本語言編寫的病毒�。此類病毒編寫較為簡單,但是破壞力同樣驚人����。我們知道���,Linux系統(tǒng)中有許多的以.sh結尾的腳本文件�,而一個短短十數(shù)行的shell腳本就可以在短時間內遍歷整個硬盤中的所有腳本文件��,進行感染�。
4�����、后門程序:在廣義的病毒定義概念中�����,后門也已經(jīng)納入了病毒的范疇���。活躍在Windows系統(tǒng)中的后門這一入侵者的利器在Linux平臺下同樣極為活躍�����。從增加系統(tǒng)超級用戶賬號的簡單后門���,到利用系統(tǒng)服務加載����,共享庫文件注射��,rootkit工具包���,甚至可裝載內核模塊(LKM)��,Linux平臺下的后門技術發(fā)展非常成熟�,隱蔽性強,難以清除���。是Linux系統(tǒng)管理員極為頭疼的問題�����。
二���、Linux 服務器病毒防范策略
綜合以上介紹,可以看到總體來說計算機病毒對Linux系統(tǒng)存在較小的危險�����。但是由于各種原因在企業(yè)應用中往往是Linux和Windows操作系統(tǒng)共存形成異構網(wǎng)絡�����。在服務器端大多使用Linux和Unix的���,桌面端使用Windows 。所以為Linux的防范病毒策略分成幾個部分:
可執(zhí)行文件型病毒、蠕蟲(worm)病毒����、腳本病毒的防范通過安裝GPL查殺病毒軟件基本可以防范。服務器端可以使用avast! for Linux/Unix Servers它是工作在命令行下的���,運行時可以較少占用系統(tǒng)資源��。工作站用戶可以選擇avast! Linux Home Edition���,可以運行在任何X-Windows環(huán)境下面,比如KDE或Gnome等���。對于后門程序防范可以采用LIDS( )和Chkrootkit( )����,LIDS是Linux內核補丁和系統(tǒng)管理員工具(lidsadm)���,它加強了Linus內核�?��?梢员Wodev/目錄下的重要文件�。而Chkrootkit可以檢測系統(tǒng)的日志和文件,查看是否有惡意程序侵入系統(tǒng)�,并且尋找關聯(lián)到不同惡意程序的信號。最新版本的Chkrootkit0.48可以檢測出sniffers��、Trojans��、worms����、rootkit等59種。代理服務器squid是一款非常優(yōu)秀的代理服務器軟件����,但是并沒有專門的病毒過濾功能??梢钥紤]使用德國開放源碼愛好者開發(fā)的一款基于Linux的病毒過濾代理服務器——HAVP( )。HAVP病毒過濾代理服務器軟件既可以獨立使用�,也可以與Squid串聯(lián)使用,增強Squid代理服務器的病毒過濾功能�����。提供郵件服務是Linux服務器中重要應用�����?����?梢允褂肅lamAV( )�,ClamAV 全名是 Clam AntiVirus,它跟Liunx一樣強調公開程序代碼�����、免費授權等觀念��,ClamAV 目前可以偵測超過40,000 種病毒��、蠕蟲���、木馬程序��,并且隨時更新數(shù)據(jù)庫���,有一組分布在世界各地的病毒專家,24小時更新及維護病毒數(shù)據(jù)庫���,任何人發(fā)現(xiàn)可疑病毒也可以隨時跟她們取得 聯(lián)系�����,立刻更新病毒碼����,在極短的時間內,網(wǎng)絡上采用ClamAV的郵件服務器就完成最新的防護動作�。
