你的分享就是我们的动力 ---﹥

Unix病毒和蠕虫如何工作

时间:2011-09-15 21:38来源:www.chengxuyuans.com 点击:

随着Klez病毒在Linux平台上传染的通告,防毒软件厂商开始提醒我们微软的操作系统不再是唯一易受Unix病毒攻击的操作系统了。即使Linux和其他一些主流Unix平台的用户可能不是微软捆绑应用软件的大用户,不可能通过这些软件造成Unix病毒的泛滥,Linux和Unix仍然有它们自身并不引人注目的脆弱点。我们今天来学习下Unix病毒和蠕虫如何工作的。

为了给你一个由Unix病毒、蠕虫和木马产生的重大破坏过程的认识,我带你走进两个假想的环境来揭示它们是如何工作的。每个Unix病毒、蠕虫和木马都有它们自己的特性和行为,当然,这些例子只能给你一个对它们怎样在Linux/Unix里发作的认识。

让我们从Linux.Slapper worm. Slapper怎样侵袭一个Apache服务器开始。它通过HTTP的80端口连接到服务器,然后发送有效的GET请求,以发现正在使用的Apache服务器的版本,从而为详细的目标系统做一个自我定义。当找到了一个合适的易攻击的系统之后,它又连接到443端口,利用一个缓冲区溢出漏洞来采用合适的蠕虫包替换目标系统。

接着,蠕虫会利用一个本地编译器,例如gcc来编译自己。二进制结果跟着从/tmp目录开始扩散,监听UDP端口,以接受更长远的分布式拒绝服务(DDoS )攻击的指示。最后,DDoS攻击制造TCP洪流令系统瘫痪。某些Slapper病毒的变异体还会扫描整个B类网络寻找易攻击的Apache服务器。

另一种蠕虫,Linux Lion worm,扫描任意的B类网络里的53端口,从而找出易受攻击版本的BIND——最流行的Linux/Unix DNS服务器。当Linux Lion worm找到一个易受攻击版本的BIND之后,它清除日志文件,接着种植各种木马文件以隐藏它的企图。Linux Lion worm可能安装的木马文件有:
 

  1. /bin/in.telnetd  
  2. /bin/mjy  
  3. /bin/ps  
  4. /bin/netstat  
  5. /bin/ls  
  6. /etc/inetd.conf  
  7. /sbin/ifconfig  
  8. /usr/bin/find  
  9. /usr/sbin/nscd  
  10. /usr/sbin/in.fingerd  
  11. /usr/bin/top  
  12. /usr/bin/du 

你可以看到,这些文件看起来是合法的Unix文件,因此你可能怀疑你的第一眼所见,但这就是木马的关键所在。

要掩盖它的足迹, Linux Lion可能会删除以下文件:
 

  1. /.bash_history  
  2. /etc/hosts.deny  
  3. /root/.bash_history  
  4. /var/log/messages  
  5. /var/log/maillog 

一旦已经对系统构成威胁,Lion会把密码文件发送给远程的计算机,其他Lion 的变种可以通过嗅探器来嗅探活动连接中的密码信息。通过获得系统访问权限,Unix病毒黑客们能利用远程系统进行DDoS攻击,窃取信用卡号,或者窃取和破坏机密文件、纪录。


本文地址http://www.chengxuyuans.com/Unix/13957.html

其他频道: Linux Unix Windows 系统技巧