不久以前,很多系統管理員還信誓旦旦的表示,Linux 和其他基於 UNIX 的平台對於病毒和蠕蟲事實上是無懈可擊的。我不知道為什麼他們對自己的威脅分析這麼自信,特別是從第一個大型蠕蟲在 1988 年被 Robert Morris 發明,在使用 Sendmail 程序的 UNIX 系統中被釋放出來以後。我猜測每個人都變得熱衷於批評微軟的操作系統和軟件,這已經成為越來越多病毒制造者的攻擊目標,然而他們卻遺忘了 UNIX 上的脆弱點。
Linux/UNIX 威脅
隨著 Klez 病毒在 Linux 平台上傳染的通告,防毒軟件廠商開始提醒我們微軟的操作系統不再是唯一易受病毒攻擊的操作系統了。即使 Linux 和其他一些主流 UNIX 平台的用戶可能不是微軟捆綁應用軟件的大用戶,不可能通過這些軟件造成病毒的泛濫,Linux 和 UNIX 仍然有它們自身並不引人注目的脆弱點。
除了 Klez 以外,其他 Linux/UNIX 平台的主要威脅有:Lion.worm、OSF.8759 病毒、Slapper、Scalper、Linux.Svat 和 BoxPoison 病毒,這些很少被提及。
我記得曾經在兩年前參加了一個由歐洲最大的財政機構完成的安全審計項目,當時我聽見一個知名的安全專家告訴審計師,UNIX 是不易受病毒攻擊的。審計師只是簡單的說了一句"okay",然後紀錄下"UNIX 系統對於病毒是安全的"。那個時代已經過去了,你現在可以預料到,安全審計師和 IT 安全團隊已經開始強烈的需要 UNIX 平台上的病毒策略了。
一個叫 Alexander Bartolich 的奧地利學生甚至已經完成了如何一個編寫 Linux 平台上 ELF 病毒的指南。Bartolich 沒有要求做一個 Linux 毒先鋒,他表示,他只是更有效的說明了和反映了病毒、蠕蟲和木馬威脅 Linux 更好的途徑,那些很早就已經在別處被說明了。有了這樣具啟發性的、在網上發布的文檔,基於 UNIX 的病毒數量只會增長的更快,特別是自 Linux 在服務器領域的應用越來越廣泛之後。系統管理員也許希望,在親自讀過那本指南以後,對 Linux 病毒的理解發生飛躍,從而能夠更好的掌握 Linux 的脆弱點。
病毒的制造者是一些精通編寫代碼的黑客,他們遠比那些胡亂塗改網站卻對編寫病毒知之甚少的黑客要危險。盡管一個被黑掉的網站可以很快的修好,病毒卻加更隱蔽,會帶來潛在的安全隱患。你也許不能相信,但是病毒會一直潛伏,直到它給系統帶來不可挽回的損害。
受影響的 Linux/UNIX 平台
不是所有版本的 Linux/UNIX 平台都已經被影響,但是下面這些是在從前已經被病毒侵害過的系統:
SuSE Linux
Mandrake Linux
Red Hat Linux
Debian GNU Linux
Slackware Linux
FreeBSD
HP/UX
IBM AIX
SCO Unixware
SCO OpenServer
Sun Solaris
SunOS
越多的 Linux/UNIX 系統連接到局域網和廣域網,你的單位就有越多受攻擊的可能,這是因為很多 UNIX 病毒正在快速的擴散著。使用 WINE 的 Linux/UNIX系 統特別容易受到病毒的攻擊。WINE 是一個公開源代碼的兼容軟件包,能讓 UNIX 平台運行 Windows 應用軟件。 WINE 系統特別容易遭受病毒的攻擊,因為它們會使無論是對 UNIX 的還是對 Windows 的病毒、蠕蟲和木馬都能對系統產生威脅。
威脅的本質
你不應該為 Linux/UNIX 平台上的病毒和 Windows 操作系統上的病毒工作方式不同而感到奇怪。不過,UNIX 中病毒、蠕蟲和木馬工作的原理和 Windows 中的還是大同小異的。
病毒只不過是一個能不經過你的同意而感染和摧毀其他程序的程序。蠕蟲是一個不經過你的同意而自我復制的代碼塊。盡管計算機程序中的 bug 也可能在未經你允許的情況下進行自我復制,它們還是有很大區別的。區別就在於bug的自我復制是無意識的,而病毒的自我復制卻是有意識的。木馬程序隱藏了它們進行數字破壞的企圖。在一個 UNIX 環境下,木馬可能被命名為一個合法的程序(例如 tar 或者 df),可是它卻能移除整個文件系統。
這些病毒和蠕蟲如何工作
為了給你一個由 UNIX 病毒、蠕蟲和木馬產生的重大破壞過程的認識,我帶你走進兩個假想的環境來揭示它們是如何工作的。每個病毒、蠕蟲和木馬都有它們自己的特性和行為,當然,這些例子只能給你一個對它們怎樣在 Linux/UNIX 裡發作的認識。
讓我們從 Linux.Slapper worm. Slapper 怎樣侵襲一個 Apache 服務器開始。它通過 HTTP 的 80 端口連接到服務器,然後發送有效的 GET 請求,以發現正在使用的 Apache 服務器的版本,從而為詳細的目標系統做一個自我定義。當找到了一個合適的易攻擊的系統之後,它又連接到 443 端口,利用一個緩沖區溢出漏洞來采用合適的蠕蟲包替換目標系統。
接著,蠕蟲會利用一個本地編譯器,例如 gcc 來編譯自己。二進制結果跟著從 /tmp 目錄開始擴散,監聽 UDP 端口,以接受更長遠的分布式拒絕服務(DDoS )攻擊的指示。最後,DDoS 攻擊制造 TCP 洪流令系統癱瘓。某些 Slapper 病毒的變異體還會掃描整個 B 類網絡尋找易攻擊的 Apache 服務器。
另一種蠕蟲,Linux Lion worm,掃描任意的B類網絡裡的 53 端口,從而找出易受攻擊版本的 BIND——最流行的 Linux/UNIX DNS 服務器。當 Linux Lion worm 找到一個易受攻擊版本的 BIND 之後,它清除日志文件,接著種植各種木馬文件以隱藏它的企圖。Linux Lion worm 可能安裝的木馬文件有:
/bin/in.telnetd
/bin/mjy
/bin/ps
/bin/netstat
/bin/ls
/etc/inetd.conf
/sbin/ifconfig
/usr/bin/find
/usr/sbin/nscd
/usr/sbin/in.fingerd
/usr/bin/top
/usr/bin/du
你可以看到,這些文件看起來是合法的 UNIX 文件,因此你可能懷疑你的第一眼所見,但這就是木馬的關鍵所在。
要掩蓋它的足跡, Linux Lion 可能會刪除以下文件:
/.bash_history
/etc/hosts.deny
/root/.bash_history
/var/log/messages
/var/log/maillog
一旦已經對系統構成威脅,Lion 會把密碼文件發送給遠程的計算機,其他 Lion 的變種可以通過嗅探器來嗅探活動連接中的密碼信息。通過獲得系統訪問權限,病毒黑客們能利用遠程系統進行 DDoS 攻擊,竊取信用卡號,或者竊取和破壞機密文件、紀錄。
Linux/UNIX 的防毒產品
自從 Linux 成為最流行的 UNIX 平台之一以後,大多數為 UNIX 系統所編寫的病毒瞄准了 Linux 平台。然而,一些廠商同樣有一些非主流 UNIX 平台的軟件包。如果你的單位正在使用 Solaris、FreeBSD,或者其他版本的 UNIX,不要期待找到很多防毒的選擇。明顯的, Linux/UNIX 平台上的防毒軟件正在蔓延,在教育,只有一部分廠商提供了 Linux/UNIX 平台的軟件產品。
一些 UNIX 防毒產品被特別的設計安裝在防火牆之上,因此你可以在 UNIX 病毒侵害其他系統之前將其攔截在防火牆上。另外的一些 UNIX 防毒產品被特別的設計在消息和群件服務器上。
保護你的系統不受自動化的黑客行為所侵害
病毒、蠕蟲和木馬基本上意味著自動化的黑客行為,也許被病毒攻擊比被黑客攻擊更可能發生。直接的黑客攻擊目標一般是服務器,而病毒是等機會的麻煩制造者。如果你的網絡包含了 Linux 或 UNIX 系統,特別危險的是服務器,不要在作出反應之前等待尋找 UNIX 病毒、蠕蟲和木馬是否存在。做一些調查然後選擇一個適合你系統的防毒產品,它們能幫你防止病毒的傳播。
原文出處:eNet
