Jan
25
昨天有用户报障:他们使用红旗DC Server 5.0产品做应用服务器的机器中了病毒。虽说Linux下的病毒不多,但很久以前我也曾经在一台服务器上遇到过。(中毒原因是病毒强制攻破了root用户的密码,密码太简单了)这次听用户的描述,似乎现象不太一样,所以决定到现场看看。
到现场后,发现情况是这样的:
到现场后,发现情况是这样的:
引用
1、用户为了方便修改应用系统的网页,用Samba把/opt和/data目录都作为root用户共享给Windows,由于Samba还也会把用户的主目录给共享,所以/root目录也可以由Windows访问和读写;
2、病毒是由已经感染病毒的客户机通过Samba写到上述目录的,另外也在所有html后缀的文件中加入了访问指定病毒网站的代码串,这时候,用户的应用系统就成了网络传播的其中一个途径;
3、经过对系统的分析,病毒只在上述目录和子目录中生成了Desktop_.ini文件,其他目录没有,可以判断该病毒不能感染Linux系统,不是真正的Linux病毒;
4、后来经过趋势的分析,病毒是现在流行的“熊猫烧香”变种;
5、在这里,Linux作为文件共享服务器,其中存放有Windows的病毒,可能作为病毒传播源,但为Linux系统本身,由于二进制代码不同,是无法干扰Linux运行的。
2、病毒是由已经感染病毒的客户机通过Samba写到上述目录的,另外也在所有html后缀的文件中加入了访问指定病毒网站的代码串,这时候,用户的应用系统就成了网络传播的其中一个途径;
3、经过对系统的分析,病毒只在上述目录和子目录中生成了Desktop_.ini文件,其他目录没有,可以判断该病毒不能感染Linux系统,不是真正的Linux病毒;
4、后来经过趋势的分析,病毒是现在流行的“熊猫烧香”变种;
5、在这里,Linux作为文件共享服务器,其中存放有Windows的病毒,可能作为病毒传播源,但为Linux系统本身,由于二进制代码不同,是无法干扰Linux运行的。
