一些Linux用户可能听说过甚至遇到过一些Linux病毒。这些Linux病毒的原理和症状不一样,所以防范措施也不一样。
为了更好的防范Linux病毒,我们先对一些已知的Linux病毒进行分类。
从目前的Linux病毒来看,可以分为以下几种病毒类型:
1.感染ELF格式文件的病毒
这类病毒主要感染ELF格式的文件,能感染ELF文件的病毒可以用汇编或者c编写,Lindose病毒就是一种能感染ELF文件的病毒。当它发现一个ELF文件时,它将检查被感染机器的类型是否是Intel80386。如果是,它将找出文件的一部分是否大于2784字节(或十六进制AEO)。如果是,病毒会用自己的代码覆盖它,并添加宿主文件相应部分的代码,同时将宿主文件的入口点指向病毒代码部分。
预防:因为Linux下有很好的权限控制机制,所以这种病毒必须有足够的权限才能传播。在防范这类病毒的时候,要注意管理好我们Linux系统中各种文件的权限。特别是在做日常操作的时候,不要使用root账号。最好不要以root身份运行来历不明的可执行文件,以免无意中触发含有病毒的文件,感染整个系统。
2.脚本病毒
脚本是指用shell等脚本语言编写的病毒。这种病毒写起来比较简单,没有很深的知识也很容易破坏系统,比如删除文件,破坏系统的正常运行,甚至下载安装木马。但是扩散不好,一般会造成本机损坏。
预防:预防这类病毒,也要注意不要随便运行来源不明的脚本。同时,要严格控制root权限的使用。
3.蠕虫病毒
Linux下的蠕虫类似于Windows下的蠕虫,可以独立运行,也可以自行传播到其他电脑上。
Linux平台上的蠕虫通常利用一些Linux系统和服务的漏洞进行传播。比如拉面病毒利用部分Linux版本(Redhat6.2和7.0)的rpc.statd和wu-ftp两个安全漏洞进行传播。
预防:预防这类病毒,要堵住蠕虫病毒爆发的源头。从几次Linux病毒爆发来看,都是利用了Linux已经公布的几个安全漏洞。如果用户及时采取相应的安全措施,就不会受到它们的影响。不幸的是,许多Linux管理员并不密切跟踪与他们自己的系统和服务相关的最新信息,所以他们仍然给病毒可乘之机。
要做好本机的安全,用户要特别注意Linux的安全漏洞信息。一旦出现新的Linux安全漏洞,他们应该及时采取安全措施。此外,还可以配合防火墙规则限制蠕虫的传播。
4.后门程序
后门程序也可以看作是广义的病毒,在Linux平台上也很活跃。Linux后门是通过系统服务加载、共享库文件注入、rootkit甚至可加载内核模块(LKM)等技术实现的。Linux平台上的很多后门都结合了入侵技术,非常隐蔽,很难清理。
预防:这类病毒的预防可以借助一些软件来进行,有些软件可以帮助用户找出系统中的各种后门程序,比如chkrootkitsR,rootkit可以发现蠕虫、后门等。