随着Klez病毒在Linux平台上传染的通告,防毒软件厂商开始提醒我们微软的操作系统不再是唯一易受Unix病毒攻击的操作系统了。即使Linux和其他一些主流Unix平台的用户可能不是微软捆绑应用软件的大用户,不可能通过这些软件造成Unix病毒的泛滥,Linux和Unix仍然有它们自身并不引人注目的脆弱点。我们今天来学习下Unix病毒和蠕虫如何工作的。
为了给你一个由Unix病毒、蠕虫和木马产生的重大破坏过程的认识,我带你走进两个假想的环境来揭示它们是如何工作的。每个Unix病毒、蠕虫和木马都有它们自己的特性和行为,当然,这些例子只能给你一个对它们怎样在Linux/Unix里发作的认识。
让我们从Linux.Slapper worm. Slapper怎样侵袭一个Apache服务器开始。它通过HTTP的80端口连接到服务器,然后发送有效的GET请求,以发现正在使用的Apache服务器的版本,从而为详细的目标系统做一个自我定义。当找到了一个合适的易攻击的系统之后,它又连接到443端口,利用一个缓冲区溢出漏洞来采用合适的蠕虫包替换目标系统。
接着,蠕虫会利用一个本地编译器,例如gcc来编译自己。二进制结果跟着从/tmp目录开始扩散,监听UDP端口,以接受更长远的分布式拒绝服务(DDoS )攻击的指示。最后,DDoS攻击制造TCP洪流令系统瘫痪。某些Slapper病毒的变异体还会扫描整个B类网络寻找易攻击的Apache服务器。
另一种蠕虫,Linux Lion worm,扫描任意的B类网络里的53端口,从而找出易受攻击版本的BIND——最流行的Linux/Unix DNS服务器。当Linux Lion worm找到一个易受攻击版本的BIND之后,它清除日志文件,接着种植各种木马文件以隐藏它的企图。Linux Lion worm可能安装的木马文件有:
/bin/in.telnetd /bin/mjy /bin/ps /bin/netstat /bin/ls /etc/inetd.conf /sbin/ifconfig /usr/bin/find /usr/sbin/nscd /usr/sbin/in.fingerd /usr/bin/top /usr/bin/du
你可以看到,这些文件看起来是合法的Unix文件,因此你可能怀疑你的第一眼所见,但这就是木马的关键所在。
要掩盖它的足迹, Linux Lion可能会删除以下文件:
/.bash_history /etc/hosts.deny /root/.bash_history /var/log/messages /var/log/maillog
一旦已经对系统构成威胁,Lion会把密码文件发送给远程的计算机,其他Lion 的变种可以通过嗅探器来嗅探活动连接中的密码信息。通过获得系统访问权限,Unix病毒黑客们能利用远程系统进行DDoS攻击,窃取信用卡号,或者窃取和破坏机密文件、纪录。