Linux系统病毒防治
2012-05-17 07:30:05 来源:WEB开发网核心提示:Linux平台下的病毒分类大体如下:◆ 可执行文件型病毒可执行文件型病毒是指能够寄生在文件中的、以文件为主要感染对象的病毒,病毒制造者们无论使用什么武器,Linux系统病毒防治(2),不管是汇编语言或C语言,要感染ELF文件都是轻而易举的事情,Squid是一款非常优秀的代理服务器软件,但是没有专门的病毒过滤功能,这方面
Linux平台下的病毒分类大体如下:
◆ 可执行文件型病毒
可执行文件型病毒是指能够寄生在文件中的、以文件为主要感染对象的病毒。病毒制造者们无论使用什么武器,不管是汇编语言或C语言,要感染ELF文件都是轻而易举的事情。这方面的病毒有Lindose。
◆ 蠕虫(Worm)病毒
1988年Morris蠕虫爆发后,Eugene H. Spafford为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义——计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。在Linux平台下,蠕虫病毒极为猖獗,像利用系统漏洞进行传播的Ramen、Lion和Slapper等,这些病毒都感染了大量的Linux系统,造成了巨大的损失。
◆ 脚本病毒
目前出现比较多的是使用Shell脚本语言编写的病毒。此类病毒编写较为简单,但是破坏力同样惊人。我们知道,Linux系统中有许多的以.sh结尾的脚本文件,而一个短短十数行的Shell脚本就可以在短时间内遍历整个硬盘中的所有脚本文件,进行感染。
◆ 后门程序
在广义的病毒定义概念中,后门也已经纳入了病毒的范畴。活跃在Windows系统中的后门这一入侵者的利器在Linux平台下同样极为活跃。从增加系统超级用户账号的简单后门,到利用系统服务加载、共享库文件注射、rootkit工具包,甚至可装载内核模块(LKM),Linux平台下的后门技术发展非常成熟,隐蔽性强,难以清除。这是Linux系统管理员极为头疼的问题。
三、Linux病毒的防治
综合以上介绍可以看到,总体来说计算机病毒对Linux系统的危害较小。但是由于各种原因在企业应用中往往是Linux和Windows操作系统共存形成异构网络,在服务器端大多使用Linux和Unix,在桌面端使用Windows,所以Linux的防范病毒策略分成针对Linux本身(服务器和使用其作为桌面的计算机)防范策略和针对使用Linux服务器后端的Windows系统的病毒防范策略两个部分,Linux下的防病毒软件也分成基于开放源代码的和商业软件两部分。
◆ 针对Linux本身做病毒防范策略(服务器和使用其作为桌面的计算机)
对可执行文件型病毒、蠕虫(Worm)病毒、脚本病毒的防范,通过安装GPL查杀病毒软件基本可以防范。服务器端可以使用AntiVir(http://www.hbedv.com/)查杀病毒。它是工作在命令行下的,运行时可以较少占用系统资源。桌面用户可以选择Tkantivir(http://www.sebastian-geiges.de/tkantivir/),它是用Tcl/Tk编写的,可以运行在任何X-Window环境下面,比如KDE或GNOME等。
对于后门程序防范,可以采用
LIDS(http://www.lids.org/)和Chkrootkit(http://www.chkrootkit.org/)。LIDS是Linux内核补丁和系统管理员工具(Lidsadm),它加强了Linux内核,可以保护dev/目录下的重要文件。而Chkrootkit可以检测系统的日志和文件,查看是否有恶意程序侵入系统,并且寻找关联到不同恶意程序的信号。最新版本的Chkrootkit0.45可以检测出sniffers、Trojans、worms、rootkit等100种病毒。
此外,对于Linux服务器来说运行的软件大都是开源软件,而且都在不停升级,稳定版和测试版交替出现。在www.apache.org等网站上,最新的ChangeLog中都写有“Bug Fix”、“Security Bug Fix”等字样。所以,Linux系统管理员要经常关注相关网站的Bug Fix和升级,及时升级或添加补丁,千万不要报侥幸心理。这里套用一句名言:“你的服务器永远可能在第二天被黑客接管。”
◆ 针对使用Linux服务器后端的Windows系统的病毒防范策略
许多企业使用代理服务器接人互联网,用户的Windows系统在进行HTTP网页浏览和文件下载时容易被感染病毒,所以可以在代理服务器上加挂一个病毒过滤器,对用户浏览的HTTP网页进行病毒检测,发现有用户浏览网页感染病毒的状况即由代理服务器进行阻断,丢弃带有病毒的请求,将不安全的进程阻止在代理服务器内,禁止带有病毒的数据向客户端计算机传播。Squid是一款非常优秀的代理服务器软件,但是没有专门的病毒过滤功能。可以考虑使用德国开放源码爱好者开发的一款基于Linux的病毒过滤代理服务器--HAVP(http://www.server-side.de/)。
◆ 可执行文件型病毒
可执行文件型病毒是指能够寄生在文件中的、以文件为主要感染对象的病毒。病毒制造者们无论使用什么武器,不管是汇编语言或C语言,要感染ELF文件都是轻而易举的事情。这方面的病毒有Lindose。
◆ 蠕虫(Worm)病毒
1988年Morris蠕虫爆发后,Eugene H. Spafford为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义——计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。在Linux平台下,蠕虫病毒极为猖獗,像利用系统漏洞进行传播的Ramen、Lion和Slapper等,这些病毒都感染了大量的Linux系统,造成了巨大的损失。
◆ 脚本病毒
目前出现比较多的是使用Shell脚本语言编写的病毒。此类病毒编写较为简单,但是破坏力同样惊人。我们知道,Linux系统中有许多的以.sh结尾的脚本文件,而一个短短十数行的Shell脚本就可以在短时间内遍历整个硬盘中的所有脚本文件,进行感染。
◆ 后门程序
在广义的病毒定义概念中,后门也已经纳入了病毒的范畴。活跃在Windows系统中的后门这一入侵者的利器在Linux平台下同样极为活跃。从增加系统超级用户账号的简单后门,到利用系统服务加载、共享库文件注射、rootkit工具包,甚至可装载内核模块(LKM),Linux平台下的后门技术发展非常成熟,隐蔽性强,难以清除。这是Linux系统管理员极为头疼的问题。
三、Linux病毒的防治
综合以上介绍可以看到,总体来说计算机病毒对Linux系统的危害较小。但是由于各种原因在企业应用中往往是Linux和Windows操作系统共存形成异构网络,在服务器端大多使用Linux和Unix,在桌面端使用Windows,所以Linux的防范病毒策略分成针对Linux本身(服务器和使用其作为桌面的计算机)防范策略和针对使用Linux服务器后端的Windows系统的病毒防范策略两个部分,Linux下的防病毒软件也分成基于开放源代码的和商业软件两部分。
◆ 针对Linux本身做病毒防范策略(服务器和使用其作为桌面的计算机)
对可执行文件型病毒、蠕虫(Worm)病毒、脚本病毒的防范,通过安装GPL查杀病毒软件基本可以防范。服务器端可以使用AntiVir(http://www.hbedv.com/)查杀病毒。它是工作在命令行下的,运行时可以较少占用系统资源。桌面用户可以选择Tkantivir(http://www.sebastian-geiges.de/tkantivir/),它是用Tcl/Tk编写的,可以运行在任何X-Window环境下面,比如KDE或GNOME等。
对于后门程序防范,可以采用
LIDS(http://www.lids.org/)和Chkrootkit(http://www.chkrootkit.org/)。LIDS是Linux内核补丁和系统管理员工具(Lidsadm),它加强了Linux内核,可以保护dev/目录下的重要文件。而Chkrootkit可以检测系统的日志和文件,查看是否有恶意程序侵入系统,并且寻找关联到不同恶意程序的信号。最新版本的Chkrootkit0.45可以检测出sniffers、Trojans、worms、rootkit等100种病毒。
此外,对于Linux服务器来说运行的软件大都是开源软件,而且都在不停升级,稳定版和测试版交替出现。在www.apache.org等网站上,最新的ChangeLog中都写有“Bug Fix”、“Security Bug Fix”等字样。所以,Linux系统管理员要经常关注相关网站的Bug Fix和升级,及时升级或添加补丁,千万不要报侥幸心理。这里套用一句名言:“你的服务器永远可能在第二天被黑客接管。”
◆ 针对使用Linux服务器后端的Windows系统的病毒防范策略
许多企业使用代理服务器接人互联网,用户的Windows系统在进行HTTP网页浏览和文件下载时容易被感染病毒,所以可以在代理服务器上加挂一个病毒过滤器,对用户浏览的HTTP网页进行病毒检测,发现有用户浏览网页感染病毒的状况即由代理服务器进行阻断,丢弃带有病毒的请求,将不安全的进程阻止在代理服务器内,禁止带有病毒的数据向客户端计算机传播。Squid是一款非常优秀的代理服务器软件,但是没有专门的病毒过滤功能。可以考虑使用德国开放源码爱好者开发的一款基于Linux的病毒过滤代理服务器--HAVP(http://www.server-side.de/)。
更多精彩
赞助商链接