Jan
25
[原]在红旗DC服务器上安装趋势ServerProtect for Linux 2.5
昨天有用户报障:他们使用红旗DC Server 5.0产品做应用服务器的机器中了病毒。虽说Linux下的病毒不多,但很久以前我也曾经在一台服务器上遇到过。(中毒原因是病毒强制攻破了root用户的密码,密码太简单了)这次听用户的描述,似乎现象不太一样,所以决定到现场看看。
到现场后,发现情况是这样的:
接着,我也协助趋势科技的工程师在该系统上部署了趋势ServerProtect for Linux 2.5。趋势ServerProtect for Linux 2.5的部分特征:
下面是安装过程:
一、安装
运行安装程序:
输入必须的信息:
yes
测试的话,直接按[Ctrl+D]退出即可。
二、配置
从前面的安装过程可以看到,核心的模块没有识别到,所以加载防病毒软件的核心模块,也就无法启动实时扫描(Real-time Scan)。需要这样的修改:
重新启动监控服务:
可以看到,启动都正常了。
三、使用
趋势ServerProtect for Linux 2.5暂时只有英文版,可通过KDE桌面和http、https方式进行管理和控制,另外,也可加入Trend Micro Control Manager管理中心。详细请参考产品的安装说明,这里以Web管理为例:
Web有两个访问端口:14942是http、14943是https
访问方式可通过浏览器进行:
四、使用界面
KDE界面:
Web界面:
五、卸载
删除对应的rpm包:
最后把剩余的空目录也删除即可:
六、附录
趋势ServerProtect for Linux 2.5相关文件。
软件包:
安装和使用说明:
版权和说明Readme:
到现场后,发现情况是这样的:
引用
1、用户为了方便修改应用系统的网页,用Samba把/opt和/data目录都作为root用户共享给Windows,由于Samba还也会把用户的主目录给共享,所以/root目录也可以由Windows访问和读写;
2、病毒是由已经感染病毒的客户机通过Samba写到上述目录的,另外也在所有html后缀的文件中加入了访问指定病毒网站的代码串,这时候,用户的应用系统就成了网络传播的其中一个途径;
3、经过对系统的分析,病毒只在上述目录和子目录中生成了Desktop_.ini文件,其他目录没有,可以判断该病毒不能感染Linux系统,不是真正的Linux病毒;
4、后来经过趋势的分析,病毒是现在流行的“熊猫烧香”变种;
5、在这里,Linux作为文件共享服务器,其中存放有Windows的病毒,可能作为病毒传播源,但为Linux系统本身,由于二进制代码不同,是无法干扰Linux运行的。
2、病毒是由已经感染病毒的客户机通过Samba写到上述目录的,另外也在所有html后缀的文件中加入了访问指定病毒网站的代码串,这时候,用户的应用系统就成了网络传播的其中一个途径;
3、经过对系统的分析,病毒只在上述目录和子目录中生成了Desktop_.ini文件,其他目录没有,可以判断该病毒不能感染Linux系统,不是真正的Linux病毒;
4、后来经过趋势的分析,病毒是现在流行的“熊猫烧香”变种;
5、在这里,Linux作为文件共享服务器,其中存放有Windows的病毒,可能作为病毒传播源,但为Linux系统本身,由于二进制代码不同,是无法干扰Linux运行的。
接着,我也协助趋势科技的工程师在该系统上部署了趋势ServerProtect for Linux 2.5。趋势ServerProtect for Linux 2.5的部分特征:
引用
◎实时和预设扫毒
使用者除了可依其需要随时执行手动扫毒功能〈我们称其为 Scan Now〉,ServerProtect 也有不须使用者烦心费神的自动防毒机制。只要文件一被存取,像是文件复制或被开启使用的时候,实时扫描便会检查该文件是否含有病毒;预设扫毒则是依据使用者指定的时间和周期,按时地扫描检查整个 Linux 服务器。因此扫毒的工作可以安排在下班后这段服务器较不忙碌的时间,以避免干扰正常工作之进行。
◎多元化的管理主控台作远程管理
为Web-based的管理控制台,可通过IE或Netscape浏览器开启 Web 控制台来设定及管理,并支持加密的HTTPS通讯协议,多加一层通讯安全。同时也支持Linux的 Mozilla 浏览器,以及选择通过XWindows.(KDE)的Quick Access快速控制台开启ServerProtect,提供Linux管理员更大的方便性。
使用者除了可依其需要随时执行手动扫毒功能〈我们称其为 Scan Now〉,ServerProtect 也有不须使用者烦心费神的自动防毒机制。只要文件一被存取,像是文件复制或被开启使用的时候,实时扫描便会检查该文件是否含有病毒;预设扫毒则是依据使用者指定的时间和周期,按时地扫描检查整个 Linux 服务器。因此扫毒的工作可以安排在下班后这段服务器较不忙碌的时间,以避免干扰正常工作之进行。
◎多元化的管理主控台作远程管理
为Web-based的管理控制台,可通过IE或Netscape浏览器开启 Web 控制台来设定及管理,并支持加密的HTTPS通讯协议,多加一层通讯安全。同时也支持Linux的 Mozilla 浏览器,以及选择通过XWindows.(KDE)的Quick Access快速控制台开启ServerProtect,提供Linux管理员更大的方便性。
下面是安装过程:
一、安装
运行安装程序:
# chmod +x splx_v2.5.i686.bin
# ./splx_v2.5.i686.bin
# ./splx_v2.5.i686.bin
输入必须的信息:
引用
SPLX version 2.5 Released March 7, 2006
Do you agree to the above license terms? (yes or no)
Do you agree to the above license terms? (yes or no)
yes
引用
Installing ServerProtect for Linux:
Unpacking...
!! Unsupported kernel version.
Installing rpm file...
Preparing... ################################### [100%]
1:SProtectLinux ################################## [100%]
Do you wish to connect this SPLX server to Trend Micro Control Manager? (y/n) [y] n
Starting services...
Starting ServerProtect for Linux:
Checking configuration file: [ OK ]
Starting splxcore:
Starting Entity: [ OK ]
Loading splx kernel module: [Not available]
Unable to load Kernel module. Please contact Trend Micro support.
Starting vsapiapp: [ OK ]
ServerProtect for Linux core started.
[ OK ]
Starting splxhttpd:
Starting splxhttpd: [ OK ]
ServerProtect for Linux httpd started.
[ OK ]
ServerProtect for Linux started.
The kernel hooking module included with this ServerProtect for Linux package
does not support this Linux kernel. ServerProtect for Linux services were
started, but Real-time Scan is disabled. To enable Real-time Scan, please go to
http://www.trendmicro.com/en/products/file-server/sp-linux/use/kernel.htm
and download the appropriate kernel hooking module that will support your
kernel.
ServerProtect for Linux installation completed.
Activate ServerProtect to continue real-time scanning and security updates.
Activation is a two-step process that you can complete during or after installation.
Step 1. Register
Use the Registration Key that came with your product to register online
(https://olr.trendmicro.com/registration).
(Please skip this step if the product is already registered.)
Step 2. Activate
Type the Activation Code/serial number received after registration to activate ServerProtect.
(Press [Ctrl+D] to abort activation.)
Activation Code/serial number:
Unpacking...
!! Unsupported kernel version.
Installing rpm file...
Preparing... ################################### [100%]
1:SProtectLinux ################################## [100%]
Do you wish to connect this SPLX server to Trend Micro Control Manager? (y/n) [y] n
Starting services...
Starting ServerProtect for Linux:
Checking configuration file: [ OK ]
Starting splxcore:
Starting Entity: [ OK ]
Loading splx kernel module: [Not available]
Unable to load Kernel module. Please contact Trend Micro support.
Starting vsapiapp: [ OK ]
ServerProtect for Linux core started.
[ OK ]
Starting splxhttpd:
Starting splxhttpd: [ OK ]
ServerProtect for Linux httpd started.
[ OK ]
ServerProtect for Linux started.
The kernel hooking module included with this ServerProtect for Linux package
does not support this Linux kernel. ServerProtect for Linux services were
started, but Real-time Scan is disabled. To enable Real-time Scan, please go to
http://www.trendmicro.com/en/products/file-server/sp-linux/use/kernel.htm
and download the appropriate kernel hooking module that will support your
kernel.
ServerProtect for Linux installation completed.
Activate ServerProtect to continue real-time scanning and security updates.
Activation is a two-step process that you can complete during or after installation.
Step 1. Register
Use the Registration Key that came with your product to register online
(https://olr.trendmicro.com/registration).
(Please skip this step if the product is already registered.)
Step 2. Activate
Type the Activation Code/serial number received after registration to activate ServerProtect.
(Press [Ctrl+D] to abort activation.)
Activation Code/serial number:
测试的话,直接按[Ctrl+D]退出即可。
二、配置
从前面的安装过程可以看到,核心的模块没有识别到,所以加载防病毒软件的核心模块,也就无法启动实时扫描(Real-time Scan)。需要这样的修改:
# cd /opt/TrendMicro/SProtectLinux/SPLX.module/
# uname -r
2.6.9-11.19AX
# cp splxmod-2.6.9-22.0.2.EL.o splxmod-2.6.9-11.19AX.o
# uname -r
2.6.9-11.19AX
# cp splxmod-2.6.9-22.0.2.EL.o splxmod-2.6.9-11.19AX.o
重新启动监控服务:
引用
# service splx restart
Shutting down ServerProtect for Linux:
Shutting down splxcore:
Shutting down vsapiapp: [FAILED]
Unloading splx kernel module: [FAILED]
Shutting down entity: [ OK ]
ServerProtect for Linux core stopped normally.
[ OK ]
Shutting down splxhttpd:
Shutting down splxhttpd: [ OK ]
ServerProtect for Linux httpd stopped normally.
[ OK ]
ServerProtect for Linux stopped normally.
Starting ServerProtect for Linux:
Checking configuration file: [ OK ]
Starting splxcore:
Starting Entity: [ OK ]
Loading splx kernel module: [ OK ]
Starting vsapiapp: [ OK ]
ServerProtect for Linux core started.
[ OK ]
Starting splxhttpd:
Starting splxhttpd: [ OK ]
ServerProtect for Linux httpd started.
[ OK ]
ServerProtect for Linux started.
Shutting down ServerProtect for Linux:
Shutting down splxcore:
Shutting down vsapiapp: [FAILED]
Unloading splx kernel module: [FAILED]
Shutting down entity: [ OK ]
ServerProtect for Linux core stopped normally.
[ OK ]
Shutting down splxhttpd:
Shutting down splxhttpd: [ OK ]
ServerProtect for Linux httpd stopped normally.
[ OK ]
ServerProtect for Linux stopped normally.
Starting ServerProtect for Linux:
Checking configuration file: [ OK ]
Starting splxcore:
Starting Entity: [ OK ]
Loading splx kernel module: [ OK ]
Starting vsapiapp: [ OK ]
ServerProtect for Linux core started.
[ OK ]
Starting splxhttpd:
Starting splxhttpd: [ OK ]
ServerProtect for Linux httpd started.
[ OK ]
ServerProtect for Linux started.
可以看到,启动都正常了。
三、使用
趋势ServerProtect for Linux 2.5暂时只有英文版,可通过KDE桌面和http、https方式进行管理和控制,另外,也可加入Trend Micro Control Manager管理中心。详细请参考产品的安装说明,这里以Web管理为例:
Web有两个访问端口:14942是http、14943是https
访问方式可通过浏览器进行:
引用
http://:14942/
https://:14943/
https://
四、使用界面
KDE界面:
Web界面:
五、卸载
删除对应的rpm包:
引用
# rpm -e SProtectLinux
Shutting down ServerProtect for Linux:
Shutting down splxcore:
Shutting down vsapiapp: [ OK ]
Unloading splx kernel module: [ OK ]
Shutting down entity: [ OK ]
ServerProtect for Linux core stopped normally.
[ OK ]
Shutting down splxhttpd:
Shutting down splxhttpd: [ OK ]
ServerProtect for Linux httpd stopped normally.
[ OK ]
ServerProtect for Linux stopped normally.
Shutting down ServerProtect for Linux:
Shutting down splxcore:
Shutting down vsapiapp: [ OK ]
Unloading splx kernel module: [ OK ]
Shutting down entity: [ OK ]
ServerProtect for Linux core stopped normally.
[ OK ]
Shutting down splxhttpd:
Shutting down splxhttpd: [ OK ]
ServerProtect for Linux httpd stopped normally.
[ OK ]
ServerProtect for Linux stopped normally.
最后把剩余的空目录也删除即可:
rmdir /opt/TrendMicro/
六、附录
趋势ServerProtect for Linux 2.5相关文件。
软件包:
安装和使用说明:
下载文件
版权和说明Readme:
下载文件
但是,你也可以使用一些开源的防火墙软件,例如clamav,它有专门对于samba的模块,前面的blog有描述;另外,还有一些国外针对linux平台的商业产品,也可以在0day找到方便的下载,他们的功能不会比趋势差。
把www映射为网络驱动器,用卡巴斯基杀了。
你这个”趋势ServerProtect for Linux 2.5“不交钱能正常使用吗?