不久以前,很多系統(tǒng)管理員還信誓旦旦的表示,Linux和其他基于UNIX的平臺(tái)對(duì)于病毒和蠕蟲事實(shí)上是無懈可擊的。我不知道為什么他們對(duì)自己的威脅分析這么自信,特別是從第一個(gè)大型蠕蟲在1988年被Robert Morris發(fā)明,在使用Sendmail程序的UNIX系統(tǒng)中被釋放出來以后。我猜測(cè)每個(gè)人都變得熱衷于批評(píng)微軟的操作系統(tǒng)和軟件,這已經(jīng)成為越來越多病毒制造者的攻擊目標(biāo),然而他們卻遺忘了UNIX上的脆弱點(diǎn)。
Linux/UNIX威脅
隨著Klez病毒在Linux平臺(tái)上傳染的通告,防毒軟件廠商開始提醒我們微軟的操作系統(tǒng)不再是唯一易受病毒攻擊的操作系統(tǒng)了。即使Linux和其他一些主流UNIX平臺(tái)的用戶可能不是微軟捆綁應(yīng)用軟件的大用戶,不可能通過這些軟件造成病毒的泛濫,Linux和UNIX仍然有它們自身并不引人注目的脆弱點(diǎn)。
除了Klez以外,其他Linux/UNIX平臺(tái)的主要威脅有:Lion.worm、OSF.8759病毒、Slapper、Scalper、Linux.Svat和BoxPoison病毒,這些很少被提及。
我記得曾經(jīng)在兩年前參加了一個(gè)由歐洲最大的財(cái)政機(jī)構(gòu)完成的安全審計(jì)項(xiàng)目,當(dāng)時(shí)我聽見一個(gè)知名的安全專家告訴審計(jì)師,UNIX是不易受病毒攻擊的。審計(jì)師只是簡(jiǎn)單的說了一句"okay",然后紀(jì)錄下"UNIX系統(tǒng)對(duì)于病毒是安全的"。那個(gè)時(shí)代已經(jīng)過去了,你現(xiàn)在可以預(yù)料到,安全審計(jì)師和IT安全團(tuán)隊(duì)已經(jīng)開始強(qiáng)烈的需要UNIX平臺(tái)上的病毒策略了。
一個(gè)叫Alexander Bartolich的奧地利學(xué)生甚至已經(jīng)完成了如何一個(gè)編寫Linux平臺(tái)上ELF 病毒的指南。Bartolich 沒有要求做一個(gè)Linux病毒先鋒,他表示,他只是更有效的說明了和反映了病毒、蠕蟲和木馬威脅Linux 更好的途徑,那些很早就已經(jīng)在別處被說明了。有了這樣具啟發(fā)性的、在網(wǎng)上發(fā)布的文檔,基于UNIX的病毒數(shù)量只會(huì)增長(zhǎng)的更快,特別是自Linux 在服務(wù)器領(lǐng)域的應(yīng)用越來越廣泛之后。系統(tǒng)管理員也許希望,在親自讀過那本指南以后,對(duì)Linux 病毒的理解發(fā)生飛躍,從而能夠更好的掌握Linux 的脆弱點(diǎn)。
病毒的制造者是一些精通編寫代碼的黑客,他們遠(yuǎn)比那些胡亂涂改網(wǎng)站卻對(duì)編寫病毒知之甚少的黑客要危險(xiǎn)。盡管一個(gè)被黑掉的網(wǎng)站可以很快的修好,病毒卻加更隱蔽,會(huì)帶來潛在的安全隱患。你也許不能相信,但是病毒會(huì)一直潛伏,直到它給系統(tǒng)帶來不可挽回的損害。
受影響的Linux/UNIX平臺(tái)
不是所有版本的Linux/UNIX平臺(tái)都已經(jīng)被影響,但是下面這些是在從前已經(jīng)被病毒侵害過的系統(tǒng):
|
越多的Linux/UNIX系統(tǒng)連接到局域網(wǎng)和廣域網(wǎng),你的單位就有越多受攻擊的可能,這是因?yàn)楹芏郩NIX 病毒正在快速的擴(kuò)散著。使用WINE的 Linux/UNIX系統(tǒng)特別容易受到病毒的攻擊。WINE是一個(gè)公開源代碼的兼容軟件包,能讓UNIX平臺(tái)運(yùn)行Windows應(yīng)用軟件。 WINE系統(tǒng)特別容易遭受病毒的攻擊,因?yàn)樗鼈儠?huì)使無論是對(duì)UNIX的還是對(duì) Windows的病毒、蠕蟲和木馬都能對(duì)系統(tǒng)產(chǎn)生威脅。
威脅的本質(zhì)
你不應(yīng)該為L(zhǎng)inux/UNIX平臺(tái)上的病毒和Windows操作系統(tǒng)上的病毒工作方式不同而感到奇怪。不過,UNIX中病毒、蠕蟲和木馬工作的原理和Windows中的還是大同小異的。
病毒只不過是一個(gè)能不經(jīng)過你的同意而感染和摧毀其他程序的程序。蠕蟲是一個(gè)不經(jīng)過你的同意而自我復(fù)制的代碼塊。盡管計(jì)算機(jī)程序中的bug也可能在未經(jīng)你允許的情況下進(jìn)行自我復(fù)制,它們還是有很大區(qū)別的。區(qū)別就在于bug的自我復(fù)制是無意識(shí)的,而病毒的自我復(fù)制卻是有意識(shí)的。木馬程序隱藏了它們進(jìn)行數(shù)字破壞的企圖。在一個(gè)UNIX環(huán)境下,木馬可能被命名為一個(gè)合法的程序(例如tar或者df),可是它卻能移除整個(gè)文件系統(tǒng)。
這些病毒和蠕蟲如何工作
為了給你一個(gè)由UNIX病毒、蠕蟲和木馬產(chǎn)生的重大破壞過程的認(rèn)識(shí),我?guī)阕哌M(jìn)兩個(gè)假想的環(huán)境來揭示它們是如何工作的。每個(gè)病毒、蠕蟲和木馬都有它們自己的特性和行為,當(dāng)然,這些例子只能給你一個(gè)對(duì)它們?cè)鯓釉贚inux/UNIX里發(fā)作的認(rèn)識(shí)。
讓我們從Linux.Slapper worm. Slapper怎樣侵襲一個(gè)Apache服務(wù)器開始。它通過HTTP的80端口連接到服務(wù)器,然后發(fā)送有效的GET請(qǐng)求,以發(fā)現(xiàn)正在使用的Apache服務(wù)器的版本,從而為詳細(xì)的目標(biāo)系統(tǒng)做一個(gè)自我定義。當(dāng)找到了一個(gè)合適的易攻擊的系統(tǒng)之后,它又連接到443端口,利用一個(gè)緩沖區(qū)溢出漏洞來采用合適的蠕蟲包替換目標(biāo)系統(tǒng)。
接著,蠕蟲會(huì)利用一個(gè)本地編譯器,例如gcc來編譯自己。二進(jìn)制結(jié)果跟著從/tmp目錄開始擴(kuò)散,監(jiān)聽UDP端口,以接受更長(zhǎng)遠(yuǎn)的分布式拒絕服務(wù)(DDoS )攻擊的指示。最后,DDoS攻擊制造TCP洪流令系統(tǒng)癱瘓。某些Slapper病毒的變異體還會(huì)掃描整個(gè)B類網(wǎng)絡(luò)尋找易攻擊的Apache服務(wù)器。
另一種蠕蟲,Linux Lion worm,掃描任意的B類網(wǎng)絡(luò)里的53端口,從而找出易受攻擊版本的BIND——最流行的Linux/UNIX DNS服務(wù)器。當(dāng)Linux Lion worm找到一個(gè)易受攻擊版本的BIND之后,它清除日志文件,接著種植各種木馬文件以隱藏它的企圖。Linux Lion worm可能安裝的木馬文件有:
|
你可以看到,這些文件看起來是合法的UNIX文件,因此你可能懷疑你的第一眼所見,但這就是木馬的關(guān)鍵所在。要掩蓋它的足跡,Linux Lion可能會(huì)刪除以下文件:
|
一旦已經(jīng)對(duì)系統(tǒng)構(gòu)成威脅,Lion會(huì)把密碼文件發(fā)送給遠(yuǎn)程的計(jì)算機(jī),其他Lion 的變種可以通過嗅探器來嗅探活動(dòng)連接中的密碼信息。通過獲得系統(tǒng)訪問權(quán)限,病毒黑客們能利用遠(yuǎn)程系統(tǒng)進(jìn)行DDoS攻擊,竊取信用卡號(hào),或者竊取和破壞機(jī)密文件、紀(jì)錄。
Linux/UNIX的防毒產(chǎn)品
自從Linux成為最流行的UNIX平臺(tái)之一以后,大多數(shù)為UNIX系統(tǒng)所編寫的病毒瞄準(zhǔn)了Linux平臺(tái)。然而,一些廠商同樣有一些非主流UNIX平臺(tái)的軟件包。如果你的單位正在使用Solaris、FreeBSD,或者其他版本的UNIX,不要期待找到很多防毒的選擇。明顯的,Linux/UNIX平臺(tái)上的防毒軟件正在蔓延,在教育,只有一部分廠商提供了Linux/UNIX 平臺(tái)的軟件產(chǎn)品。
一些UNIX防毒產(chǎn)品被特別的設(shè)計(jì)安裝在防火墻之上,因此你可以在UNIX病毒侵害其他系統(tǒng)之前將其攔截在防火墻上。另外的一些UNIX防毒產(chǎn)品被特別的設(shè)計(jì)在消息和群件服務(wù)器上。
保護(hù)你的系統(tǒng)不受自動(dòng)化的黑客行為所侵害
病毒、蠕蟲和木馬基本上意味著自動(dòng)化的黑客行為,也許被病毒攻擊比被黑客攻擊更可能發(fā)生。直接的黑客攻擊目標(biāo)一般是服務(wù)器,而病毒是等機(jī)會(huì)的麻煩制造者。如果你的網(wǎng)絡(luò)包含了Linux或UNIX系統(tǒng),特別危險(xiǎn)的是服務(wù)器,不要在作出反應(yīng)之前等待尋找UNIX病毒、蠕蟲和木馬是否存在。做一些調(diào)查然后選擇一個(gè)適合你系統(tǒng)的防毒產(chǎn)品,它們能幫你防止病毒的傳播。