详细剖析Linux和Unix两系统病毒威胁

Linux/UNIX的防毒产品

自从Linux成为最流行的UNIX平台之一以后，大多数为UNIX系统所编写的病毒瞄准了Linux平台。然而，一些厂商同样有一些非主流UNIX平台的软件包。如果你的单位正在使用Solaris、FreeBSD，或者其他版本的UNIX，不要期待找到很多防毒的选择。明显的，Linux/UNIX平台上的防毒软件正在蔓延，在教育，只有一部分厂商提供了Linux/UNIX 平台的软件产品。这些厂商包括：Computer Associates ；F-Secure；Kaspersky；Sophos；Symantec；Trend Micro。一些UNIX防毒产品被特别的设计安装在防火墙之上，因此你可以在UNIX病毒侵害其他系统之前将其拦截在防火墙上。另外的一些UNIX防毒产品被特别的设计在消息和群件服务器上。

保护你的系统不受自动化的黑客行为所侵害

病毒、蠕虫和木马基本上意味着自动化的黑客行为，也许被病毒攻击比被黑客攻击更可能发生。直接的黑客攻击目标一般是服务器，而病毒是等机会的麻烦制造者。如果你的网络包含了Linux或UNIX系统，特别危险的是服务器，不要在作出反应之前等待寻找UNIX病毒、蠕虫和木马是否存在。做一些调查然后选择一个适合你系统的防毒产品，它们能帮你防止病毒的传播。

威胁的本质

你不应该为Linux/UNIX平台上的病毒和Windows操作系统上的病毒工作方式不同而感到奇怪。不过，UNIX中病毒、蠕虫和木马工作的原理和Windows中的还是大同小异的。

病毒只不过是一个能不经过你的同意而感染和摧毁其他程序的程序。蠕虫是一个不经过你的同意而自我复制的代码块。尽管计算机程序中的bug也可能在未经你允许的情况下进行自我复制，它们还是有很大区别的。区别就在于bug的自我复制是无意识的，而病毒的自我复制却是有意识的。木马程序隐藏了它们进行数字破坏的企图。在一个UNIX环境下，木马可能被命名为一个合法的程序（例如tar或者df），可是它却能移除整个文件系统。

这些病毒和蠕虫如何工作

为了给你一个由UNIX病毒、蠕虫和木马产生的重大破坏过程的认识，我带你走进两个假想的环境来揭示它们是如何工作的。每个病毒、蠕虫和木马都有它们自己的特性和行为，当然，这些例子只能给你一个对它们怎样在Linux/UNIX里发作的认识。

让我们从Linux.Slapper worm. Slapper怎样侵袭一个Apache服务器开始。它通过HTTP的80端口连接到服务器，然后发送有效的GET请求，以发现正在使用的Apache服务器的版本，从而为详细的目标系统做一个自我定义。当找到了一个合适的易攻击的系统之后，它又连接到443端口，利用一个缓冲区溢出漏洞来采用合适的蠕虫包替换目标系统。

接着，蠕虫会利用一个本地编译器，例如gcc来编译自己。二进制结果跟着从/tmp目录开始扩散，监听UDP端口，以接受更长远的分布式拒绝服务（DDoS ）攻击的指示。最后，DDoS攻击制造TCP洪流令系统瘫痪。某些Slapper病毒的变异体还会扫描整个B类网络寻找易攻击的Apache服务器。

另一种蠕虫，Linux Lion worm，扫描任意的B类网络里的53端口，从而找出易受攻击版本的BIND——最流行的Linux/UNIX DNS服务器。当Linux Lion worm找到一个易受攻击版本的BIND之后，它清除日志文件，接着种植各种木马文件以隐藏它的企图。Linux Lion worm可能安装的木马文件有：

/bin/in.telnetd 
/bin/mjy 
/bin/ps 
/bin/netstat 
/bin/ls 
/etc/inetd.conf 
/sbin/ifconfig 
/usr/bin/find 
/usr/sbin/nscd 
/usr/sbin/in.fingerd 
/usr/bin/top 
/usr/bin/du

你可以看到，这些文件看起来是合法的UNIX文件，因此你可能怀疑你的第一眼所见，但这就是木马的关键所在。

要掩盖它的足迹， Linux Lion可能会删除以下文件：

/.bash_history 
/etc/hosts.deny 
/root/.bash_history 
/var/log/messages 
/var/log/maillog

一旦已经对系统构成威胁，Lion会把密码文件发送给远程的计算机，其他Lion 的变种可以通过嗅探器来嗅探活动连接中的密码信息。通过获得系统访问权限，病毒黑客们能利用远程系统进行DDoS攻击，窃取信用卡号，或者窃取和破坏机密文件、纪录。