歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Unix知識 >> Unix資訊

Unix病毒和蠕蟲如何工作

隨著Klez病毒在Linux平台上傳染的通告,防毒軟件廠商開始提醒我們微軟的操作系統不再是唯一易受Unix病毒攻擊的操作系統了。即使Linux和其他一些主流Unix平台的用戶可能不是微軟捆綁應用軟件的大用戶,不可能通過這些軟件造成Unix病毒的泛濫,Linux和Unix仍然有它們自身並不引人注目的脆弱點。我們今天來學習下Unix病毒和蠕蟲如何工作的。

為了給你一個由Unix病毒、蠕蟲和木馬產生的重大破壞過程的認識,我帶你走進兩個假想的環境來揭示它們是如何工作的。每個Unix病毒、蠕蟲和木馬都有它們自己的特性和行為,當然,這些例子只能給你一個對它們怎樣在Linux/Unix裡發作的認識。

讓我們從Linux.Slapper worm. Slapper怎樣侵襲一個Apache服務器開始。它通過HTTP的80端口連接到服務器,然後發送有效的GET請求,以發現正在使用的Apache服務器的版本,從而為詳細的目標系統做一個自我定義。當找到了一個合適的易攻擊的系統之後,它又連接到443端口,利用一個緩沖區溢出漏洞來采用合適的蠕蟲包替換目標系統。

接著,蠕蟲會利用一個本地編譯器,例如gcc來編譯自己。二進制結果跟著從/tmp目錄開始擴散,監聽UDP端口,以接受更長遠的分布式拒絕服務(DDoS )攻擊的指示。最後,DDoS攻擊制造TCP洪流令系統癱瘓。某些Slapper病毒的變異體還會掃描整個B類網絡尋找易攻擊的Apache服務器。

另一種蠕蟲,Linux Lion worm,掃描任意的B類網絡裡的53端口,從而找出易受攻擊版本的BIND——最流行的Linux/Unix DNS服務器。當Linux Lion worm找到一個易受攻擊版本的BIND之後,它清除日志文件,接著種植各種木馬文件以隱藏它的企圖。Linux Lion worm可能安裝的木馬文件有:
 

  1. /bin/in.telnetd  
  2. /bin/mjy  
  3. /bin/ps  
  4. /bin/netstat  
  5. /bin/ls  
  6. /etc/inetd.conf  
  7. /sbin/ifconfig  
  8. /usr/bin/find  
  9. /usr/sbin/nscd  
  10. /usr/sbin/in.fingerd  
  11. /usr/bin/top  
  12. /usr/bin/du 

你可以看到,這些文件看起來是合法的Unix文件,因此你可能懷疑你的第一眼所見,但這就是木馬的關鍵所在。

要掩蓋它的足跡, Linux Lion可能會刪除以下文件:
 

  1. /.bash_history  
  2. /etc/hosts.deny  
  3. /root/.bash_history  
  4. /var/log/messages  
  5. /var/log/maillog 

一旦已經對系統構成威脅,Lion會把密碼文件發送給遠程的計算機,其他Lion 的變種可以通過嗅探器來嗅探活動連接中的密碼信息。通過獲得系統訪問權限,Unix病毒黑客們能利用遠程系統進行DDoS攻擊,竊取信用卡號,或者竊取和破壞機密文件、紀錄。

Copyright © Linux教程網 All Rights Reserved