昨天有用户报障:他们使用红旗DC Server 5.0产品做应用服务器的机器中了病毒。虽说Linux下的病毒不多,但很久以前我也曾经在一台服务器上遇到过。(中毒原因是病毒强制攻破了root用户的密码,密码太简单了)这次听用户的描述,似乎现象不太一样,所以决定到现场看看。
到现场后,发现情况是这样的:
2、病毒是由已经感染病毒的客户机通过Samba写到上述目录的,另外也在所有html后缀的文件中加入了访问指定病毒网站的代码串,这时候,用户的应用系统就成了网络传播的其中一个途径;
3、经过对系统的分析,病毒只在上述目录和子目录中生成了Desktop_.ini文件,其他目录没有,可以判断该病毒不能感染Linux系统,不是真正的Linux病毒;
4、后来经过趋势的分析,病毒是现在流行的“熊猫烧香”变种;
5、在这里,Linux作为文件共享服务器,其中存放有Windows的病毒,可能作为病毒传播源,但为Linux系统本身,由于二进制代码不同,是无法干扰Linux运行的。
接着,我也协助趋势科技的工程师在该系统上部署了趋势ServerProtect for Linux 2.5。趋势ServerProtect for Linux 2.5的部分特征:
使用者除了可依其需要随时执行手动扫毒功能〈我们称其为 Scan Now〉,ServerProtect 也有不须使用者烦心费神的自动防毒机制。只要文件一被存取,像是文件复制或被开启使用的时候,实时扫描便会检查该文件是否含有病毒;预设扫毒则是依据使用者指定的时间和周期,按时地扫描检查整个 Linux 服务器。因此扫毒的工作可以安排在下班后这段服务器较不忙碌的时间,以避免干扰正常工作之进行。
◎多元化的管理主控台作远程管理
为Web-based的管理控制台,可通过IE或Netscape浏览器开启 Web 控制台来设定及管理,并支持加密的HTTPS通讯协议,多加一层通讯安全。同时也支持Linux的 Mozilla 浏览器,以及选择通过XWindows.(KDE)的Quick Access快速控制台开启ServerProtect,提供Linux管理员更大的方便性。
下面是安装过程:
一、安装
运行安装程序:
# ./splx_v2.5.i686.bin
输入必须的信息:
Do you agree to the above license terms? (yes or no)
yes
Unpacking…
!! Unsupported kernel version.
Installing rpm file…
Preparing… ################################### [100%]
1:SProtectLinux ################################## [100%]
Do you wish to connect this SPLX server to Trend Micro Control Manager? (y/n) [y] n
Starting services…
Starting ServerProtect for Linux:
Checking configuration file: [ OK ]
Starting splxcore:
Starting Entity: [ OK ]
Loading splx kernel module: [Not available]
Unable to load Kernel module. Please contact Trend Micro support.
Starting vsapiapp: [ OK ]
ServerProtect for Linux core started.
[ OK ]
Starting splxhttpd:
Starting splxhttpd: [ OK ]
ServerProtect for Linux httpd started.
[ OK ]
ServerProtect for Linux started.
The kernel hooking module included with this ServerProtect for Linux package
does not support this Linux kernel. ServerProtect for Linux services were
started, but Real-time Scan is disabled. To enable Real-time Scan, please go to
http://www.trendmicro.com/en/products/file-server/sp-linux/use/kernel.htm
and download the appropriate kernel hooking module that will support your
kernel.
ServerProtect for Linux installation completed.
Activate ServerProtect to continue real-time scanning and security updates.
Activation is a two-step process that you can complete during or after installation.
Step 1. Register
Use the Registration Key that came with your product to register online
(https://olr.trendmicro.com/registration).
(Please skip this step if the product is already registered.)
Step 2. Activate
Type the Activation Code/serial number received after registration to activate ServerProtect.
(Press [Ctrl+D] to abort activation.)
Activation Code/serial number:
测试的话,直接按[Ctrl+D]退出即可。
二、配置
从前面的安装过程可以看到,核心的模块没有识别到,所以加载防病毒软件的核心模块,也就无法启动实时扫描(Real-time Scan)。需要这样的修改:
# uname -r
2.6.9-11.19AX
# cp splxmod-2.6.9-22.0.2.EL.o splxmod-2.6.9-11.19AX.o
重新启动监控服务:
Shutting down ServerProtect for Linux:
Shutting down splxcore:
Shutting down vsapiapp: [FAILED]
Unloading splx kernel module: [FAILED]
Shutting down entity: [ OK ]
ServerProtect for Linux core stopped normally.
[ OK ]
Shutting down splxhttpd:
Shutting down splxhttpd: [ OK ]
ServerProtect for Linux httpd stopped normally.
[ OK ]
ServerProtect for Linux stopped normally.
Starting ServerProtect for Linux:
Checking configuration file: [ OK ]
Starting splxcore:
Starting Entity: [ OK ]
Loading splx kernel module: [ OK ]
Starting vsapiapp: [ OK ]
ServerProtect for Linux core started.
[ OK ]
Starting splxhttpd:
Starting splxhttpd: [ OK ]
ServerProtect for Linux httpd started.
[ OK ]
ServerProtect for Linux started.
可以看到,启动都正常了。
三、使用
趋势ServerProtect for Linux 2.5暂时只有英文版,可通过KDE桌面和http、https方式进行管理和控制,另外,也可加入Trend Micro Control Manager管理中心。详细请参考产品的安装说明,这里以Web管理为例:
Web有两个访问端口:14942是http、14943是https
访问方式可通过浏览器进行:
https://
![[原]在红旗DC服务器上安装趋势ServerProtect for Linux 2.5](http://www.linuxfly.org/template/meSimple/images/download.gif)
下载文件