从如何编写一个Linux病毒来看安全防范

导读：本文来自Larry Seltzer在eWeek的博客，博客专栏名为CHEAP HACK。本文讨论了从如何编写一个Linux病毒来看安全防范。

每个人都知道Linux没有病毒，或者类似的东西。有人进而推论认为Linux对病毒之类的东西是免疫的，因为它设计的太棒了，Macs也是如此。其实这种观点是错误的。

名为foobar的博客者在Geekzone中发表了一篇名为5个步骤写出一个Linux病毒的文章，文章虽然名义上是写如何制造Linux病毒的，实际却是告诉读者现实世界中病毒是如何工作的以及Linux是多么的脆弱。

而且foobar文章的难点不在于如何在Linux上写出攻击性代码，更重要的是如何感染其他Linux操作系统电脑。实际上，foobar的病毒攻击基本上也就是特洛伊木马攻击，而且foobar明确指出特洛伊木马攻击是Windows病毒的常用模式。

有人指出foobar的攻击并非严格意义上针对Linux的，而是GNOME或者KDE或者其他更高端软件，这也的确是事实。实际上这给用户提供了防范信息：许多人的电脑运行Linux，也便会有许多电脑运行GNOME或者KDE，攻击后两者便是攻击Linux。当初对Windows的攻击不也是先从攻击Office、Flash和Acrobat等软件开始的吗？

Foobar采用在e-mail中添加附件来传播病毒（当然邮件的标题要有吸引力来诱使用户点击），这种方式也不甚妥当。因为Windows上的e-mail程序会去除那些可执行的附件，而且Webmail服务器有AV杀毒浏览，所以现在经常采用的方式是在e-mail中附加web链接来传播病毒。在这一点上，Windows和Linux没有太大的不同。

很重要的一点是如何让病毒在Linux上执行，这也是一个难点。在Windows中，用户一旦下载了文件并运行，只有执行许可（executepermissions）运行了他才可以执行文件。Windows有执行许可（executepermissions），但默认它们是开的。而foobar采用的方法与此类似：KDE和GNOME有个叫做launchers的设备（其文件名的末尾是".desktop"），它可以不需要执行许可的详细设置就执行一个单独的命令。这是一个长久以来就存在的问题，也是foobar利用的Linux的主要弱点（应该说是KDE 和GNOME的主要弱点）。

Foobar博客的核心内容对我们而言并不陌生，但由此我们可以看到Windows上的病毒之所以多，并不是因为操作系统自身对病毒更友好，而是一些漏洞。而且几乎每一种阻止病毒在Linux上发展的东西都采用在了Vista SP1中。

用户如何应对呢？foobar建议不要点击Linux上不明的附件，当然在Windows中还不要点击web链接。而且他个人建议解决KDE 和GNOME中.desktop的漏洞。我怀疑这会遭来强烈的反对，因为作为终端用户系统这大大降低了可用性和读取性。

Foobar博客还揭示了其他问题：有许多特权提升（privilegeelevation）的漏洞在各种需要本地读取的Linux中，如果用户没有升级完全（Windows用户也需要警惕这一点），foobar的病毒就会获取你的本地读取，同时攻击决定利用哪一个特权提升（privilegeelevation）bug。很多Linux用户不知道如何升级漏洞补丁来阻挡特权进程（如Samba），从而将漏洞暴露给了黑客。