GNU / Linux中的病毒：事實還是神話？

每當辯論結束 病毒 y GNU / Linux的 用戶很快就可以出現 （通常是Windows） 它說什麼：

«在Linux中沒有病毒，因為這些惡意程序的創建者不會浪費時間為幾乎沒有人使用的操作系統做某事？

我一直回答：

“問題不在於此，但是這些惡意程序的創建者不會浪費時間來創建可以在系統的首次更新時予以糾正的內容，即使在24小時之內也是如此。”

我沒看錯，因為這篇出色的文章發表在 90號 （2008年） 來自Todo Linux Magazine。 他的演員 大衛·桑托·奧爾塞羅 以技術方式為我們提供 （但易於理解） 解釋為什麼 GNU / Linux的 缺少此類惡意軟件。

100％推薦。 現在，他們將擁有令人信服的更多材料，可以使在此主題上沒有堅實基礎的任何人保持沉默。

下載文章（PDF）： 神話與事實：Linux和病毒

編輯：

這是轉錄的文章，因為我們認為以這種方式閱讀更容易：

================================================== ======================

Linux和病毒的爭論並不新鮮。 我們經常在列表中看到一封電子郵件，詢問是否存在Linux病毒； 有人會自動做出肯定的回答，並聲稱如果他們不流行，那是因為Linux不如Windows普及。 防病毒開發人員也經常發布新聞稿，稱他們發布了Linux病毒版本。

就個人而言，我偶爾會通過郵件或通訊組列表與其他人討論Linux中是否存在病毒的問題。 這是一個神話，但要破滅一個神話或騙局是很困難的，特別是如果它是出於經濟利益而造成的。 有人對傳達這樣一種觀點感興趣，即如果Linux沒有這類問題，那是因為很少有人使用它。

在發布此報告時，我希望就Linux中病毒的存在編寫明確的文字。 不幸的是，當迷信和經濟利益氾濫時，很難確定一些東西。
但是，我們將在這裡嘗試提出一個合理完整的論據，以消除任何想要爭論的人的攻擊。

什麼是病毒？

首先，我們將從定義什麼是病毒開始。 它是一個程序，可自我複制並自動運行，旨在在未經用戶許可或知識的情況下更改計算機的正常功能。 為此，病毒會將可執行文件替換為感染了其代碼的其他文件。 該定義是標準的，是有關病毒的Wikipedia條目的單行摘要。
該定義最重要的部分，也是將病毒與其他惡意軟件區分開的部分，是病毒在未經用戶許可或不知情的情況下自行安裝。 如果它自身未安裝，則不是病毒：它可能是rootkit或特洛伊木馬。

rootkit是一個內核補丁，可讓您從用戶區域實用程序中隱藏某些進程。 換句話說，它是對內核源代碼的修改，其目的是使允許我們查看在任何給定時間正在運行的實用程序不會顯示特定進程或特定用戶。

特洛伊木馬程序是類似的：它是對特定服務源代碼的修改，以隱藏某些欺詐活動。 在這兩種情況下，都必須獲取安裝在Linux機器上的確切版本的源代碼，對代碼進行修補，重新編譯，獲取管理員特權，安裝修補後的可執行文件，以及初始化服務（對於Trojan而言）或操作系統。完成-對於
rootkit –。 正如我們所看到的，這一過程並非微不足道，沒有人能夠“錯誤地”完成所有這些工作。 兩者都要求在安裝時讓具有管理員特權的人員有意識地執行一系列步驟，以做出具有技術性決定。

這並不是不重要的語義差別：要安裝病毒，我們要做的就是以普通用戶身份運行受感染的程序。 另一方面，對於安裝Rootkit或Trojan，惡意人員必須親自輸入計算機的root帳戶，並且以非自動化的方式執行一系列可能被檢測到的步驟，這一點至關重要。 病毒迅速有效地傳播； rootkit或木馬需要它們專門針對我們。

在Linux上的病毒傳播：

因此，病毒的傳播機制才是真正定義病毒的機制，並且是其存在的基礎。 操作系統對病毒越敏感，就越容易開發出高效的自動化傳輸機制。

假設我們有一種想要傳播的病毒。 假設它是由普通用戶在啟動程序時無辜啟動的。 該病毒僅具有兩種傳播機制：

• 通過觸摸其他進程的內存來複製自身，並在運行時將其錨定到其他進程。
• 打開文件系統可執行文件，並將其代碼“有效負載”添加到可執行文件中。

我們可以認為所有的病毒都具有這兩種傳播機制中的至少一種。 O兩個。 沒有更多的機制。
關於第一種機制，讓我們記住Linux的虛擬內存架構以及intel處理器如何工作。 它們有四個環，編號為0到3。 數字越小，在該環中運行的代碼具有的特權就越大。 這些環與處理器的狀態相對應，因此與在特定環中的系統可以完成的操作相對應。 Linux將環0用於內核，將環3用於進程。 沒有在環0上運行的過程代碼，在環3上運行的內核代碼。從環3：80h中斷只有一個進入內核的入口點，它允許您從其所在區域跳轉用戶代碼到內核代碼所在的區域。

一般而言，Unix的體系結構，尤其是Linux的體系結構，使得病毒傳播不可行。

內核通過使用虛擬內存使每個進程相信自己擁有所有內存。 一個在環3中工作的進程只能看到為其運行的環為其配置的虛擬內存。 並不是說其他進程的內存是受保護的。 對於一個進程而言，其他進程的內存在地址空間之外。 如果一個進程要擊敗所有內存地址，它甚至將無法引用另一個進程的內存地址。

為什麼不能被騙呢？
要修改註釋-例如，在環0中生成入口點，修改中斷向量，修改虛擬內存，修改LGDT ...-只能從環0開始。
也就是說，一個進程能夠觸摸其他進程的內存或內核，它應該是內核本身。 而且存在單個入口點並且參數通過寄存器傳遞的事實使陷阱變得複雜-實際上，陷阱通過寄存器傳遞直至執行該操作，然後在註意例程中將這種情況實現。 80h中斷。
另一種情況是在可能的情況下，操作系統有成百上千個未記錄的對環0的調用，在這種情況下-總是存在執行不充分的被忘記的調用，可以在該調用上開發陷阱-但是在具有這樣簡單的步驟機制，事實並非如此。

因此，虛擬內存體系結構阻止了這種傳輸機制。 沒有進程-甚至沒有root特權的進程-都無法訪問其他人的內存。 我們可以說一個進程可以看到內核。 它已從其邏輯存儲器地址0xC0000000映射它。 但是，由於它運行在處理器環上，因此您無法對其進行修改； 會產生一個陷阱，因為它們是屬於另一個環的存儲區。

“解決方案”是一個在文件時修改內核代碼的程序。 但是，將這些文件重新編譯的事實使其成為不可能。 二進製文件無法修補，因為世界上有數百萬個不同的二進制內核。 簡單地說，在重新編譯時，他們已經從內核可執行文件中放入或刪除了某些內容，或者他們更改了標識編譯版本的標籤之一的大小-甚至是不由自主地完成的操作-無法應用二進制補丁。 替代方法是從Internet下載源代碼，對其進行修補，為適當的硬件進行配置，編譯，安裝並重新啟動計算機。 所有這些都應由程序自動完成。 對於人工智能領域來說，這是一個很大的挑戰。
如我們所見，即使是病毒，也無法阻止這種障礙。 剩下的唯一解決方案是可執行文件之間的傳輸。 正如我們將在下面看到的那樣，這也不起作用。

我作為管理員的經驗：

在管理Linux的十多年中，我在數據中心，學生實驗室，公司等的數百台計算機上進行了安裝。

• 我從來沒有“忘記”病毒
• 我從未見過
• 我從未見過遇見過他的人

我知道看到過尼斯湖水怪的人比看到過Linux病毒的人還多。
就我個人而言，我承認自己很魯ck，而且我已經啟動了幾個程序，這些程序自稱為“專家”，稱其為“ Linux病毒”-從現在開始，我將它們稱為病毒，而不是為了使人學究，是從我通常對我的機器的帳戶開始的，看看是否有可能感染病毒：既有在附近傳播的bash病毒，也有沒有感染任何文件的bash病毒，還有一種非常有名並在媒體上出現的病毒。 我試圖安裝它； 經過二十分鐘的工作，當我看到他的要求之一是將tmp目錄放在MSDOS類型的分區上時，我放棄了。 就個人而言，我不知道為tmp創建特定分區並將其格式化為FAT的任何人。
實際上，我已經為Linux測試過一些所謂的病毒，需要高水平的知識和要安裝的root密碼。 如果需要我們的積極干預來感染計算機，我們至少可以將其“ qualify腳”病毒。 此外，在某些情況下，他們需要UNIX和root密碼方面的廣泛知識。 這與應該進行的自動安裝相去甚遠。

在Linux上感染可執行文件：

在Linux上，進程可以簡單地執行其有效用戶和有效組所允許的操作。 的確，有一些機制可以用現金交換真實用戶，但除此之外就很少。 如果我們查看可執行文件的位置，我們將看到只有root用戶在這些目錄和所包含的文件中都具有寫特權。 換句話說，只有root才能修改此類文件。 從70年代開始的Unix中就是這種情況，自起源以來在Linux中就是這種情況，在支持特權的文件系統中也沒有出現允許其他行為的錯誤。 ELF可執行文件的結構是已知的並且有據可查，因此從技術上講，這種類型的文件可以將有效負載加載到另一個ELF文件中...只要第一個的有效用戶或第一個的有效組具有訪問權限即可。讀取，寫入和執行第二個文件。 作為一個普通用戶，它可以感染多少個文件系統可執行文件？
這個問題的答案很簡單，如果我們想知道我們可以“感染”多少個文件，我們可以啟動以下命令：

$ find / -type f -perm -o=rwx -o \( -perm -g=rwx -group `id -g` \) -o \( -perm -u=rwx -user `id -u` \) -print 2> /dev/null | grep -v /proc

我們排除/ proc目錄，因為它是一個虛擬文件系統，顯示有關操作系統工作方式的信息。 我們將發現具有執行特權的文件類型文件不會造成問題，因為它們通常是虛擬的鏈接，似乎可以讀取，寫入和執行，並且如果用戶嘗試使用它，它將永遠無法工作。 我們還丟棄大量錯誤，因為特別是在/ proc和/ home中，有許多普通用戶無法進入的目錄-該腳本需要很長時間。 在我們的特定情況下，在四人工作的機器上，答案是：

/tmp/.ICE-unix/dcop52651205225188
/tmp/.ICE-unix/5279
/home/irbis/kradview-1.2/src
/kradview

輸出顯示了三個文件，如果運行了假設的病毒，這些文件可能會被感染。 前兩個是Unix套接字類型文件，這些文件在啟動時會被刪除（並且不會受到病毒的影響），第三個是開發程序的文件，該文件在每次重新編譯時都會被刪除。 從實用的角度來看，該病毒不會傳播。
從我們的角度來看，散佈有效載荷的唯一方法是成為root用戶。 在這種情況下，要使病毒起作用，用戶必須始終具有管理員權限。 在這種情況下，它可以感染文件。 但是這裡有個難題：要傳播感染，您需要獲取另一個可執行文件，將其郵寄給另一個僅將計算機用作root用戶的用戶，然後重複該過程。
在需要管理員執行常見任務或運行許多日常應用程序的操作系統中，可能就是這種情況。 但是在Unix中，必須是管理員才能配置計算機並修改配置文件，因此root帳戶用作日常帳戶的用戶數量很少。 還有更多一些Linux發行版甚至沒有啟用root帳戶。 幾乎在所有這些環境中，如果您這樣訪問圖形環境，背景都會變為紅色，並且不斷出現重複消息，以提醒您不要使用此帳戶。
最後，所有必須以root身份完成的工作都可以使用sudo命令來完成，而不會帶來任何風險。
因此，在Linux中，只要我們不將root帳戶用作通用帳戶，可執行文件就無法感染其他人。 而且，儘管防病毒公司堅持說Linux中存在病毒，但實際上可以在Linux中創建的最接近的東西是用戶區域中的特洛伊木馬。 這些木馬可能會影響系統上某些內容的唯一方法是，以root用戶身份運行它並具有必要的特權。 如果我們通常以普通用戶的身份使用計算機，那麼普通用戶啟動的進程就不可能感染系統。

神話與謊言：

我們發現了很多神話，惡作劇，並且只是有關Linux中病毒的簡單謊言。 讓我們根據一段時間前與Linux防病毒製造商的代表進行的討論列出他們的名單，該代表對此雜誌上發表的文章非常生氣。
該討論是一個很好的參考示例，因為它涉及Linux中病毒的所有方面。 我們將在特定討論中對所有這些神話進行逐一回顧，但在其他論壇中已經重複了很多次。

誤解1：
“並非所有惡意程序（特別是病毒）都需要root特權才能感染，尤其是在感染其他可執行文件的可執行病毒（ELF格式）的特殊情況下“。

答：
提出此類聲明的人都不知道Unix特權系統是如何工作的。 為了影響文件，病毒需要在要執行的可執行文件上具有讀取（必須對其進行讀取才能對其進行修改）和寫入（必須對其進行寫入才能使該修改有效）的特權。
總是如此，沒有例外。 而且在每個發行版中，非root用戶都不具有這些特權。 那麼，只要不紮根，就不可能感染。 實證測試：在上一節中，我們看到了一個簡單的腳本來檢查可能受感染影響的文件範圍。 如果在計算機上啟動它，我們將看到它是可以忽略的，並且對於系統文件，它為null。 另外，與Windows等操作系統不同，您不需要管理員特權即可使用普通用戶常用的程序執行常見任務。

誤解2：
“對於Slapper這種利用Apache SSL（允許安全通信的證書）中的漏洞的蠕蟲，該蠕蟲在2002年XNUMX月創建了自己的殭屍計算機網絡，它們也無需成為root即可遠程進入系統。“。

答：
這個例子不是病毒，而是蠕蟲。 區別非常重要：蠕蟲是一種利用Internet服務進行自我傳播的程序。 它不影響本地程序。 因此，它僅影響服務器。 不適用於特定機器。
蠕蟲一直很少，發病率可以忽略不計。 這三個真正重要的因素誕生於80年代，那時互聯網是純潔的，每個人都信任每個人。 讓我們記住，它們是影響sendmail，fingerd和rexec的那些。 今天，事情變得更加複雜。 儘管我們不能否認它們仍然存在，並且，如果不加以遏制，它們是極其危險的。 但是現在，對蠕蟲的反應時間非常短。 拍擊者就是這種情況：一種針對漏洞創建的蠕蟲在蠕蟲本身出現的兩個月前就被發現並進行了修補。
即使假設使用Linux的每個人都一直安裝並運行Apache，僅每月更新一次軟件包就足夠了，永遠不會有任何風險。
確實，Slapper造成的SSL錯誤是至關重要的-實際上，這是整個SSL2和SSL3歷史中發現的最大錯誤-因此，該錯誤已在數小時內得到修復。 發現並解決此問題的兩個月後，有人對已經糾正的錯誤進行了蠕蟲攻擊，至少可以肯定的是，這是可以作為漏洞給出的最強大的示例。
通常，蠕蟲的解決方案不是購買防病毒軟件，安裝防病毒軟件，也不浪費計算時間將其保留下來。 解決方案是利用我們發行版的安全更新系統：更新發行版不會有任何問題。 僅運行我們需要的服務也是一個好主意，這有兩個原因：我們改善了資源的使用，並且避免了安全問題。

誤解3：
“我認為核心是不可侵犯的。 實際上，存在一組稱為LRK（Linux Rootkits內核）的惡意程序，這些程序正是基於利用內核模塊中的漏洞並替換系統二進製文件的。“。

答：
rootkit基本上是一個內核修補程序，由於它們不會出現在/ proc目錄中，因此您可以從常用工具中隱藏某些用戶和進程的存在。 正常情況是，他們會在攻擊結束時使用它，首先，他們將利用遠程漏洞來訪問我們的計算機。 然後，他們將進行一系列攻擊，以提升特權，直到擁有root帳戶為止。 他們得到它的問題是如何在我們的計算機上安裝服務而不被檢測到：這就是rootkit的所在。 創建的用戶將成為我們要隱藏的服務的有效用戶，他們安裝了rootkit，並且隱藏了該用戶和該用戶的所有進程。
我們將詳細討論如何隱藏用戶的存在對病毒很有用，但是使用rootkit安裝自身的病毒似乎很有趣。 讓我們想像一下病毒的機制（用偽代碼）：
1）病毒進入系統。
2）找到內核源代碼。 如果不是，則由他自己安裝。
3）為內核配置適用於所討論機器的硬件選項。
4）編譯內核。
5）安裝新內核； 必要時修改LILO或GRUB。
6）重新啟動機器。

步驟（5）和（6）需要root特權。 被感染者無法檢測到步驟（4）和（6）有點複雜。 但是有趣的是，有人認為某個程序可以自動執行步驟（2）和（3）。
作為一個高潮，如果我們遇到一個告訴我們“當有更多的Linux計算機時，將會有更多的病毒”的人，並建議我們“安裝防病毒軟件並不斷對其進行更新”，這可能與銷售防病毒軟件和更新的公司有關。 。 可疑，可能是同一所有者。

適用於Linux的防病毒軟件：

確實有針對Linux的良好防病毒軟件。 問題是，他們沒有像反病毒倡導者所言。 它的功能是過濾從惡意軟件和病毒到Windows的郵件，並驗證通過SAMBA導出的文件夾中是否存在Windows病毒； 因此，如果我們將我們的計算機用作郵件網關或Windows計算機的NAS，則可以保護它們。

Clam-AV：

在不談論GNU / Linux的主要防病毒軟件ClamAV的情況下，我們將不會完成報告。
ClamAV是一種非常強大的GPL防病毒軟件，可針對市場上大多數Unix進行編譯。 它旨在分析​​通過工作站的郵件附件，並對它們進行病毒過濾。
該應用程序與sendmail完美集成，可以過濾可存儲在向公司提供郵件的Linux服務器中的病毒。 具有每天更新的病毒數據庫，並具有數字支持。 該數據庫每天更新幾次，這是一個生動有趣的項目。
這個強大的程序甚至能夠以更複雜的格式打開附件，例如RAR（2.0），Zip，Gzip，Bzip2，Tar，MS OLE2，MS Cabinet文件，MS CHM（HTML COprinted）和MS，來分析病毒深圳
ClamAV還支持mbox，Maildir和RAW格式的郵件文件，以及使用UPX，FSG和Petite壓縮的可移植可執行文件。 Clam AV和spamassassin對是保護Windows客戶免受Unix郵件服務器攻擊的理想之選。

結論

問題：Linux系統中是否存在漏洞？ 答案肯定是。
他們的頭腦中沒有人對此表示懷疑。 Linux不是OpenBSD。 另一件事是Linux系統具有的漏洞窗口，該漏洞窗口已正確更新。 如果我們問自己，是否有工具可以利用這些安全漏洞並加以利用？ 是的，但是這些不是病毒，而是漏洞。

該病毒必須克服Windows防御者一向將其視為Linux缺陷/問題的更多困難，並使真實病毒的存在復雜化-重新編譯的內核，許多應用程序的許多版本，許多發行版，它們不會自動透明地傳遞給用戶，等等。 當前的理論“病毒”必須從root帳戶手動安裝。 但這不能被視為病毒。
正如我一直告訴我的學生：請不要相信我。 在計算機上下載並安裝rootkit。 如果需要更多，請閱讀市場上“病毒”的源代碼。 事實是在源代碼中。 對於“自稱”病毒，在閱讀其代碼後很難以這種方式繼續命名。 而且，如果您不懂代碼，我建議您採取一種簡單的安全措施：僅使用root帳戶來管理計算機，並保持安全更新為最新。
僅此一項，病毒就不可能進入您，蠕蟲或某人也不太可能成功攻擊您的計算機。