解析常见的Linux病毒

海外服务器 (526) 2015-10-31 13:26:41

Linux的用户也许听说甚至遇到过一些Linux病毒,这些Linux病毒的原理和发作症状各不相同,所以采取的防范方法也各不相同。

 

为了更好地防范Linux病毒,我们先对已知的一些Linux病毒进行分类。

 

从目前出现的Linux病毒来看,可以归纳到以下几个病毒类型中去:

 

1、感染ELF格式文件的病毒

 

这类病毒以ELF格式的文件为主要感染目标,通过汇编或者C可以写出能感染ELF文件的病毒。Lindose病毒就是一能感染ELF文件的病毒,当它发现一个ELF文件时,将检查被感染的机器类型是否为Intel80386.如果是,则查找该文件中是否有一部分的大小大于2784字节(或十六进制AEO),如果有,病毒就会用自身代码覆盖它并添加宿主文件的相应部分的代码,同时将宿主文件的入口点指向病毒代码部分。

防范:由于Linux下有良好的权限控制机制,所以这类病毒要有足够的权限才能进行传播。在防范此类病毒时,我们要注意管理好自己Linux系统中的各种文件的权限,特别要注意的是在做日常操作时不要使用root账号,最好不要以root身份运行来历不明的可执行文件,以免无意中触发了含病毒的文件从而传染到整个系统中。

 

2、脚本病毒

 

脚本病毒是指使用shell等脚本语言编写的病毒。此类病毒编写较为简单,不需要具有很高深的知识,很容易就实现对系统进行破坏,比如删除文件、破坏系统正常运行、甚至下载安装木马等。但它传播性不强,通常是在本机上造成破坏。

防范:防范此类病毒也是要注意不要随便运行来源不明的脚本,同时,要严格控制对root权限的使用。

 

3、蠕虫病毒

 

Linux下的蠕虫病毒与Windows下的蠕虫病毒类似,可以独立运行,并将自身传播到另外的计算机上去。

在Linux平台下的蠕虫病毒通常利用一些Linux系统和服务的漏洞来进行传播,比如,Ramen病毒就是利用了Linux某些版本(Redhat6.2和7.0)的rpc.statd和wu-ftp这两个安全漏洞进行传播的。

防范:防范此类病毒要堵住蠕虫病毒发作的源头,从已经出现的几个Linux病毒爆发事件来看,它们都是利用了Linux已经公布了的几个安全漏洞,如果用户及时采取了对应的安全措施就不会受到它们的影响。不过遗憾的是,许多Linux的管理员并没有紧密跟踪与自己系统和服务相关的最新信息,所以还是给病毒有可乘之机。

用户要做好本机的安全工作,特别要关心Linux的安全漏洞信息,一旦有新的Linux安全漏洞出现,就要及时采取安全措施。此外,还可以配合防火墙规则来限制蠕虫病毒的传播。

 

4、后门程序

 

后门程序也可以被看成广义的病毒,在Linux平台上也非常活跃。Linux后门利用系统服务加载、共享库文件注射、rootkit工具包、甚至可装载内核模块(LKM)等技术来实现,许多Linux平台下的后门技术与入侵技术相结合,非常隐蔽,难以清除。

防范:防范此类病毒可以借助一些软件来进行,有一些软件可以帮助用户找出系统中的各种后门程序,比如chkrootkitR、rootkits可以发现蠕虫、后门等。

THE END