Linux系統(tǒng)服務(wù)器防病毒實(shí)戰(zhàn)

2020-05-27 13:40:40

字體：大中小

供稿：網(wǎng)友

　　一、Linux病毒簡介

　　隨著Linux應(yīng)用的日益廣泛，有大量的網(wǎng)絡(luò)服務(wù)器使用Linux操作系統(tǒng)。由于Linux的桌面應(yīng)用和Windows相比還有一定的差距，所以在企業(yè)應(yīng)用中往往是Linux和Windows操作系統(tǒng)共存形成異構(gòu)網(wǎng)絡(luò)。在服務(wù)器端大多使用Linux和Unix的，桌面端使用Windows XP、Vista。Linux操作系統(tǒng)一直被認(rèn)為是Windows系統(tǒng)的勁敵，因?yàn)樗粌H安全、穩(wěn)定、成本低，而且很少發(fā)現(xiàn)有病毒傳播。但是，隨著越來越多的服務(wù)器、工作站和個(gè)人電腦使用Linux軟件，電腦病毒制造者也開始攻擊這一系統(tǒng)。對(duì)于Linux系統(tǒng)無論是服務(wù)器，還是工作站的安全性和權(quán)限控制都是比較強(qiáng)大的，這主要得力于其優(yōu)秀的技術(shù)設(shè)計(jì)，不僅使它的作業(yè)系統(tǒng)難以宕機(jī)，而且也使其難以被濫用。Unix經(jīng)過20多年的發(fā)展和完善，已經(jīng)變得非常堅(jiān)固，而Linux基本上繼承了它的優(yōu)點(diǎn)。在Linux里，如果不是超級(jí)用戶，那么惡意感染系統(tǒng)文件的程序?qū)⒑茈y得逞。當(dāng)然，這并不是說Linux就無懈可擊，病毒從本質(zhì)上來說是一種二進(jìn)制的可執(zhí)行的程序。速客一號(hào)(Slammer)、沖擊波(Blast)、霸王蟲(Sobig)、米蟲(Mimail)、勞拉(Win32.Xorala)病毒等惡性程序雖然不會(huì)損壞Linux服務(wù)器，但是卻會(huì)傳播給訪問它的Windows系統(tǒng)平臺(tái)的計(jì)算機(jī)。

　　Linux平臺(tái)下的病毒分類:

　　1、可執(zhí)行文件型病毒：可執(zhí)行文件型病毒是指能夠寄生在文件中的，以文件為主要感染對(duì)象的病毒。病毒制造者們無論使用什么武器，匯編或者C，要感染ELF文件都是輕而易舉的事情。這方面的病毒有Lindose。

　　2、蠕蟲(worm)病毒：1988年Morris蠕蟲爆發(fā)后，Eugene H. Spafford 為了區(qū)分蠕蟲和病毒，給出了蠕蟲的技術(shù)角度的定義，“計(jì)算機(jī)蠕蟲可以獨(dú)立運(yùn)行，并能把自身的一個(gè)包含所有功能的版本傳播到另外的計(jì)算機(jī)上。”在Linux平臺(tái)下，蠕蟲病毒極為猖獗，像利用系統(tǒng)漏洞進(jìn)行傳播的ramen，lion，Slapper等，這些病毒都感染了大量的Linux系統(tǒng)，造成了巨大的損失。

　　3、腳本病毒：目前出現(xiàn)比較多的是使用shell腳本語言編寫的病毒。此類病毒編寫較為簡單，但是破壞力同樣驚人。我們知道，Linux系統(tǒng)中有許多的以.sh結(jié)尾的腳本文件，而一個(gè)短短十?dāng)?shù)行的shell腳本就可以在短時(shí)間內(nèi)遍歷整個(gè)硬盤中的所有腳本文件，進(jìn)行感染。

　　4、后門程序：在廣義的病毒定義概念中，后門也已經(jīng)納入了病毒的范疇。活躍在Windows系統(tǒng)中的后門這一入侵者的利器在Linux平臺(tái)下同樣極為活躍。從增加系統(tǒng)超級(jí)用戶賬號(hào)的簡單后門，到利用系統(tǒng)服務(wù)加載，共享庫文件注射，rootkit工具包，甚至可裝載內(nèi)核模塊(LKM)，Linux平臺(tái)下的后門技術(shù)發(fā)展非常成熟，隱蔽性強(qiáng)，難以清除。是Linux系統(tǒng)管理員極為頭疼的問題。

　　二、Linux 服務(wù)器病毒防范策略

　　綜合以上介紹，可以看到總體來說計(jì)算機(jī)病毒對(duì)Linux系統(tǒng)存在較小的危險(xiǎn)。但是由于各種原因在企業(yè)應(yīng)用中往往是Linux和Windows操作系統(tǒng)共存形成異構(gòu)網(wǎng)絡(luò)。在服務(wù)器端大多使用Linux和Unix的，桌面端使用Windows 。所以為Linux的防范病毒策略分成幾個(gè)部分：

　　可執(zhí)行文件型病毒、蠕蟲(worm)病毒、腳本病毒的防范通過安裝GPL查殺病毒軟件基本可以防范。服務(wù)器端可以使用avast! for Linux/Unix Servers它是工作在命令行下的，運(yùn)行時(shí)可以較少占用系統(tǒng)資源。工作站用戶可以選擇avast! Linux Home Edition，可以運(yùn)行在任何X-Windows環(huán)境下面，比如KDE或Gnome等。對(duì)于后門程序防范可以采用LIDS(http://www.lids.org/ )和Chkrootkit(http://www.chkrootkit.org/ )，LIDS是Linux內(nèi)核補(bǔ)丁和系統(tǒng)管理員工具(lidsadm)，它加強(qiáng)了Linus內(nèi)核。可以保護(hù)dev/目錄下的重要文件。而Chkrootkit可以檢測系統(tǒng)的日志和文件，查看是否有惡意程序侵入系統(tǒng)，并且尋找關(guān)聯(lián)到不同惡意程序的信號(hào)。最新版本的Chkrootkit0.48可以檢測出sniffers、Trojans、worms、rootkit等59種。代理服務(wù)器squid是一款非常優(yōu)秀的代理服務(wù)器軟件，但是并沒有專門的病毒過濾功能。可以考慮使用德國開放源碼愛好者開發(fā)的一款基于Linux的病毒過濾代理服務(wù)器——HAVP(http://www.server-side.de/ )。HAVP病毒過濾代理服務(wù)器軟件既可以獨(dú)立使用，也可以與Squid串聯(lián)使用，增強(qiáng)Squid代理服務(wù)器的病毒過濾功能。提供郵件服務(wù)是Linux服務(wù)器中重要應(yīng)用。可以使用ClamAV(http://www.clamwin.com/ )，ClamAV 全名是 Clam AntiVirus，它跟Liunx一樣強(qiáng)調(diào)公開程序代碼、免費(fèi)授權(quán)等觀念，ClamAV 目前可以偵測超過40,000 種病毒、蠕蟲、木馬程序，并且隨時(shí)更新數(shù)據(jù)庫，有一組分布在世界各地的病毒專家，24小時(shí)更新及維護(hù)病毒數(shù)據(jù)庫，任何人發(fā)現(xiàn)可疑病毒也可以隨時(shí)跟她們?nèi)〉? 聯(lián)系，立刻更新病毒碼，在極短的時(shí)間內(nèi)，網(wǎng)絡(luò)上采用ClamAV的郵件服務(wù)器就完成最新的防護(hù)動(dòng)作。

　　另外在Linux服務(wù)器上推薦使用命令行防病毒工具，雖然Linux桌面應(yīng)用發(fā)展很快，但是命令行(shell)在Linux中依然有很強(qiáng)的生命力。即使在X Window下，系統(tǒng)管理員經(jīng)常也要與命令行打交道，使用鍵盤次數(shù)要明顯高于鼠標(biāo)。對(duì)于Linux系統(tǒng)管理員來說，在命令行下操作的重要性是不言而喻的。因?yàn)閱?dòng)X—Window管理器將會(huì)消耗大量系統(tǒng)資源。

　　三、安裝配置

　　Linux 平臺(tái)：包括所有 Linux 分發(fā)版本 (只限 x86 平臺(tái)) 帶 GLIBC 版本 2.1 或者更高的并且已安裝pthreads庫，486 處理器 (Pentium 或者建議更高的) ，32 MB RAM (建議 64 MB )系統(tǒng)要求：100兆硬盤空間。

　　說明：可以使用命令查看 glibc 版本：rpm -qa | grep glibc，glibc 版本必須比大等于 2.1.4-25 。Glibc 是提供系統(tǒng)調(diào)用和基本函數(shù)的 C 庫，比如open, malloc, printf等等。所有動(dòng)態(tài)連接的程序都要用到它。Linux下最常用的多線程支持庫為Pthread庫，它是glibc庫的組成部分。

　　avast! for Linux/Unix Servers 官方網(wǎng)址：http://www.avast.com/cns/company.html ，是著名的捷克殺毒軟件。

　　主要特點(diǎn)：

　　擁有 avast! 殺毒內(nèi)核的avast! for Linux/Unix 殺毒套裝是專為 UNIX-like 作業(yè)系統(tǒng)而設(shè)的.此套裝由命令行掃描器,相當(dāng)于守護(hù)程序的常駐掃描器,和訪問常駐掃描器的客戶端組成.

　　殺毒內(nèi)核　　avast! For Linux 的殺毒內(nèi)核跟 Windows 系統(tǒng)的是完全一樣的, 那就是說,Linux 版本包含所有Windows殺毒內(nèi)核的尖端功能. 最新版本的 avast! 殺毒內(nèi)核擁有突出的查殺效能, 而且性能相當(dāng)高,它可以檢測出100%的流行病毒(已經(jīng)在用戶之間傳播的病毒).還有出色的檢測木馬病毒功能和極低的誤報(bào)率. 此內(nèi)核通過 ICSA 實(shí)驗(yàn)室認(rèn)證; 而且經(jīng)常參加 Virus Bulletin 雜志的測試, 屢次獲得 VB100 獎(jiǎng)項(xiàng). 像Windows版本的 avast! 一樣 , avast! 的 Linux 殺毒引擎有突出的解壓功能. 它可以掃描, MAPI, CAB, ACE, CHM, 7ZIP 和 NTFS 流. 而且還可以掃描以下的壓縮文檔: ARJ, ZIP, MIME (+ 所有組合格式), DBX (Outlook Express 壓縮檔), RAR, TAR, GZIP, BZIP2, ZOO, ARC, LHA/LHX, TNEF (winmail.dat), CPIO, RPM, ISO, 和 SIS. 另外它還支持一些可執(zhí)行壓縮器 (例如 PKLite, Diet, UPX, AsPack, PeShield, PeProtect, FSG 和 MEW).

　　自動(dòng)更新　　病毒防護(hù)的另外一個(gè)關(guān)鍵是病毒數(shù)據(jù)庫的更新. 當(dāng)前版本并未采用增量式更新. 當(dāng)病毒定義文件被更改整個(gè) VPS 文件需要被新文件取替.

　　命令行掃描器　　經(jīng)驗(yàn)豐富的用戶欣賞典型的從命令行控制的手動(dòng)掃描器, . 它允許掃描指定目錄里面的文件和本地及遠(yuǎn)程卷. 當(dāng)然命令行掃描器還可掃描通過網(wǎng)絡(luò)掛載的卷. 程序是非常靈活的; 它可以接收大量參數(shù)指令. 它還能夠創(chuàng)建大量供分析用的報(bào)告文件. 掃描器能夠在 STDIN/STDOUT 模式運(yùn)作,把它用作管道過濾器. 這個(gè)模式主要是在shell腳本上使用的.

　　后臺(tái)掃描器　　殺毒daemon在后臺(tái)運(yùn)作.第三方應(yīng)用程序可通過UNIX sockets訪問殺毒daemon.Daemon可在指定用戶的指定目錄內(nèi)使用.安裝套裝包括安裝訪問殺毒daemon的客戶端.

　　1. 軟件下載安裝

　　#wget http://files.avast.com/files/linux/libavastengine-4.7.1-1.i586.rpm

　　#rpm –ivh libavastengine-4.7.1-1.i586.rpm

　　#wget http://files.avast.com/files/linux/avast4server-3.0.1-1.i586.rpm

　　#rpm –ivh avast4server-3.0.1-1.i586.rpm

　　注意安裝順序，默認(rèn)軟件包安裝在/var/lib/avast4 目錄下。另外注意: 程序需要一個(gè)有效的注冊號(hào)才能正常運(yùn)作，可在http://www.avast.com/cns/linux-server-demo-license.php 請求獲得。

　　2. 查看avast手冊頁

　　avast是命令行下工作軟件，軟件提供請?jiān)敿?xì)的手冊頁面。使用前請?jiān)敿?xì)閱讀。avast的手冊頁面如圖1 。

Linux系統(tǒng)服務(wù)器防病毒實(shí)戰(zhàn) 武林網(wǎng)

　　圖1 avast的手冊頁面

　　首先把獲得許可證文件拷貝到：/var/lib/avast4 目錄。

　　#cp License.dat /var/lib/avast4

　　Avast安裝后會(huì)產(chǎn)生兩個(gè)工具：

　　-病毒庫守護(hù)進(jìn)程 (名稱是 "avastcmd")

　　-病毒掃描程序 (名稱是 "avastd")

　　病毒庫守護(hù)進(jìn)程"avastcmd"在Redhat Linux 下的啟動(dòng)、停止、重新啟動(dòng)、重新加載配置文件、查看狀態(tài)的命令如下：

　　/etc/init.d/avastd [start|stop|restart|reload|status]

　　在Slackware linux下的啟動(dòng)、停止、重新啟動(dòng)、重新加載配置文件、查看狀態(tài)的命令如下：

　　/etc/rc.d/rc.avastd [start|stop|restart|reload|status]

　　在Freebsd操作系統(tǒng)下的啟動(dòng)、停止、重新啟動(dòng)、重新加載配置文件、查看狀態(tài)的命令如下：

　　/usr/local/etc/rc.d/avastd.sh [start|stop|restart|reload|status]

　　如果希望病毒庫守護(hù)進(jìn)程"avastcmd"自動(dòng)運(yùn)行，可以打開如圖2所示的窗口，在avast服務(wù)選項(xiàng)加上*(用空格鍵)，然后重新啟動(dòng)系統(tǒng)，這樣系統(tǒng)會(huì)啟動(dòng)avast服務(wù)。

　　圖2 自動(dòng)啟動(dòng)服務(wù)守護(hù)進(jìn)程

　　四、avastcmd命令行參數(shù)

　　avastcmd是基于命令行下的工具，配合一些參數(shù)可以更有效查殺Linux、Windows病毒。

　　格式：avastcmd [OPTION...]

　　[options]主要參數(shù)：

　　-_, --console :工作在STDIN/STDOUT模式下。

　　-a, --testall ：測試所有文件。

　　-b, --blockdevices ：掃描塊設(shè)備文件。

　　-c, --testfull ：掃描所有文件。

　　-d, --directory ：說明目錄，不包括子目錄。

　　-i, --ignoretype ：忽略病毒報(bào)警信息。

　　-n, --nostats ：不統(tǒng)計(jì)病毒數(shù)量。

　　-p, --continue=1234 ：根據(jù)設(shè)定處理病毒文件，

　　1:刪除, 2:沒有設(shè)置2選項(xiàng), 3:修復(fù), 4:停止掃描工作

　　-r, --report=[*]file 建立一個(gè)報(bào)告文件。

　　-t, --archivetype[=ZGBTIJRXOQHFVPYD6UWAN] 掃描文件后綴類型:

　　Z:ZIP(default),G:GZ(default), B:BZIP2(default), T:TAR(default),

　　I:MIME, J:ARJ, R:RAR, X:Exec(default), O:ZOO,

　　Q:ARC, H:LHA, F:TNEF, V:CPIO, K:CHM, P:RPM, Y:ISO,

　　D:DBX, 6:SIS, U:OLE(default), 1:INSTALL(default),

　　W:WINEXEC(default), A:All, N:None

　　-v, --viruslist=mask 顯示所有病毒列表

　　-h, --help 顯示幫助

　　--usage

　　-V, --version 打印版本信息

　　代表驅(qū)動(dòng)器名稱、文件名稱或者目錄名稱。

　　五、測試avastcmd

　　您可以從網(wǎng)址(http://www.eicar.org/anti_virus_test_file.htm )下載一個(gè)測試感染文件 http://www.eicar.org/download/eicar_com.zip 將其放在一個(gè)臨時(shí)目錄中。使用avastcmd掃描該目錄。然后查看結(jié)果，如果出現(xiàn)圖2 界面表示安裝fprot安裝工作成功。

　　圖3 測試avastcmd工作情況

　　從圖中我們可以看到avastcmd程序版本、掃描引擎版本。以及發(fā)現(xiàn)病毒數(shù)量。

　　六、應(yīng)用實(shí)例

　　例如需要可以檢查本地系統(tǒng)加載的Windows分區(qū)，如果要檢查C盤：使用命令：

　　#avastcmd /mnt/winc -report=cjh

　　上面這個(gè)命令還會(huì)生成一個(gè)名稱cjh是報(bào)表文件。如果你能確認(rèn)你的電子郵件服務(wù)器支持8—bit的字節(jié)，可以直接用命令發(fā)送報(bào)表到管理員郵箱：

　　cat <附件文件名> | mail <郵件地址>

　　cat(“concatenate”的縮寫)命令是將幾個(gè)文件處理成一個(gè)文件并將這種處理的結(jié)果保存到一個(gè)單獨(dú)的輸出文件，這里我們用它來合并郵件的文本。

　　cat cjh | mail goodcjh

　　上面的命令表示把內(nèi)容為cjh文件內(nèi)容的郵件給用戶goodcjh。

　　查殺異構(gòu)網(wǎng)絡(luò)中Windows平臺(tái)的計(jì)算機(jī)的步驟：

　　另外我們通常使用Samba來做文件共享，Samba可以和使用Windows操作系統(tǒng)的機(jī)器很好的協(xié)作，在Windows的機(jī)器看來，Samba的服務(wù)就是網(wǎng)上鄰居里的顯示的一臺(tái)服務(wù)器，我們可以把Windows下的文件保存在這個(gè)服務(wù)器上面。你可以把其他Windows機(jī)器的共享掛到Samba的目錄下，然后一起殺，連Windows機(jī)器上的病毒也殺得干干凈凈。

　　映射網(wǎng)絡(luò)驅(qū)動(dòng)器

　　我們知道，在Windows下可以將共享目錄映射為網(wǎng)絡(luò)驅(qū)動(dòng)器，這樣就可以把共享目錄當(dāng)成本地文件夾使用。在Linux里也有類似的功能，可以借助于smbmount命令來實(shí)現(xiàn)：

　　首先在/mnt目錄下創(chuàng)建一個(gè)目錄，假設(shè)為/mnt/smb/A1，

　　#mkdir –p mnt/smb/A1

　　將遠(yuǎn)程計(jì)算機(jī)：A1的共享d磁盤掛載到/mnt/smb/A1，然后就像本地文件系統(tǒng)一樣查殺計(jì)算機(jī)病毒：

　　#smbmount //A1/d /mnt/smb/A1

　　#cd /mnt/smb/A1

　　# avastcmd

　　2、卸載該映射目錄，可以使用umount命令，然后掛載其他計(jì)算機(jī)查毒，方法是一樣，此處不再贅述。

　　七、定時(shí)啟動(dòng)avastcmd方法

　　avastdwatch.sh是一個(gè)軟件知道建立的腳步文件，通過它和cron可以定時(shí)使用avastcmd

　　在 Linux 中，任務(wù)可以被配置在指定的時(shí)間段、指定的日期、或系統(tǒng)平均載量低于指定的數(shù)量時(shí)自動(dòng)運(yùn)行。

　　1. 使用cron命令定時(shí)啟動(dòng)avastcmd

　　cron 是一個(gè)可以用來根據(jù)時(shí)間、日期、月份、星期的組合來調(diào)度對(duì)重復(fù)任務(wù)的執(zhí)行的守護(hù)進(jìn)程。cron 假定系統(tǒng)持續(xù)運(yùn)行。cron 的主配置文件是 /etc/crontab，/etc/crontab 文件中的每一行都代表一項(xiàng)任務(wù)，它的格式是：

　　minute hour day month dayofweek command

　　· minute — 分鐘，從 0 到 59 之間的任何整數(shù)。

　　· hour — 小時(shí)，從 0 到 23 之間的任何整數(shù)。

　　· day — 日期從 1 到 31 之間的任何整數(shù)(必須是該月份的有效日期)。

　　· month — 月份，從 1 到 12 之間的任何整數(shù)(或使用月份英文簡寫如 jan)。

　　· dayofweek — 星期從 0 到 7 之間的任何整數(shù)(或使用星期的英文簡寫如 sun等)。

　　· command — 要執(zhí)行的命令。

　　應(yīng)用實(shí)例：

　　首先建立定時(shí)器設(shè)置文件，文件名稱mytype(名稱自己設(shè)定)：

　　#crontab -e

　　文件內(nèi)容：

　　*/5 * * * * avastdwatch.sh -a=/var/run/avast4/local.sock -t=15 -d=/tmp -l=/var/log/avast4/avastdwatch.log