Jan 25

[原]在红旗DC服务器上安装趋势ServerProtect for Linux 2.5 晴

linuxing , 20:18 , 网络服务 » 安全相关 , 评论(2) , 引用(0) , 阅读(30573) , Via 本站原创 | |
   昨天有用户报障:他们使用红旗DC Server 5.0产品做应用服务器的机器中了病毒。虽说Linux下的病毒不多,但很久以前我也曾经在一台服务器上遇到过。(中毒原因是病毒强制攻破了root用户的密码,密码太简单了)这次听用户的描述,似乎现象不太一样,所以决定到现场看看。
   到现场后,发现情况是这样的:
引用
1、用户为了方便修改应用系统的网页,用Samba把/opt和/data目录都作为root用户共享给Windows,由于Samba还也会把用户的主目录给共享,所以/root目录也可以由Windows访问和读写;
2、病毒是由已经感染病毒的客户机通过Samba写到上述目录的,另外也在所有html后缀的文件中加入了访问指定病毒网站的代码串,这时候,用户的应用系统就成了网络传播的其中一个途径;
3、经过对系统的分析,病毒只在上述目录和子目录中生成了Desktop_.ini文件,其他目录没有,可以判断该病毒不能感染Linux系统,不是真正的Linux病毒;
4、后来经过趋势的分析,病毒是现在流行的“熊猫烧香”变种;
5、在这里,Linux作为文件共享服务器,其中存放有Windows的病毒,可能作为病毒传播源,但为Linux系统本身,由于二进制代码不同,是无法干扰Linux运行的。

   接着,我也协助趋势科技的工程师在该系统上部署了趋势ServerProtect for Linux 2.5。趋势ServerProtect for Linux 2.5的部分特征:
引用
◎实时和预设扫毒
使用者除了可依其需要随时执行手动扫毒功能〈我们称其为 Scan Now〉,ServerProtect 也有不须使用者烦心费神的自动防毒机制。只要文件一被存取,像是文件复制或被开启使用的时候,实时扫描便会检查该文件是否含有病毒;预设扫毒则是依据使用者指定的时间和周期,按时地扫描检查整个 Linux 服务器。因此扫毒的工作可以安排在下班后这段服务器较不忙碌的时间,以避免干扰正常工作之进行。
◎多元化的管理主控台作远程管理
为Web-based的管理控制台,可通过IE或Netscape浏览器开启 Web 控制台来设定及管理,并支持加密的HTTPS通讯协议,多加一层通讯安全。同时也支持Linux的 Mozilla 浏览器,以及选择通过XWindows.(KDE)的Quick Access快速控制台开启ServerProtect,提供Linux管理员更大的方便性。


   下面是安装过程:
一、安装
运行安装程序:
# chmod +x splx_v2.5.i686.bin
# ./splx_v2.5.i686.bin

输入必须的信息:
引用
SPLX version 2.5 Released March 7, 2006

Do you agree to the above license terms? (yes or no)

yes
引用
Installing ServerProtect for Linux:
Unpacking...

!! Unsupported kernel version.
Installing rpm file...
Preparing...                ################################### [100%]
  1:SProtectLinux          ################################## [100%]
Do you wish to connect this SPLX server to Trend Micro Control Manager? (y/n) [y] n
Starting services...
Starting ServerProtect for Linux:
Checking configuration file:                               [  OK  ]
Starting splxcore:
Starting Entity:                                           [  OK  ]
Loading splx kernel module:                                [Not available]
Unable to load Kernel module. Please contact Trend Micro support.

Starting vsapiapp:                                         [  OK  ]
ServerProtect for Linux core started.
                                                          [  OK  ]
Starting splxhttpd:
Starting splxhttpd:                                        [  OK  ]
ServerProtect for Linux httpd started.
                                                          [  OK  ]
ServerProtect for Linux started.

The kernel hooking module included with this ServerProtect for Linux package
does not support this Linux kernel. ServerProtect for Linux services were
started, but Real-time Scan is disabled. To enable Real-time Scan, please go to
http://www.trendmicro.com/en/products/file-server/sp-linux/use/kernel.htm
and download the appropriate kernel hooking module that will support your
kernel.


ServerProtect for Linux installation completed.


Activate ServerProtect to continue real-time scanning and security updates.
Activation is a two-step process that you can complete during or after installation.

Step 1. Register
Use the Registration Key that came with your product to register online
(https://olr.trendmicro.com/registration).
(Please skip this step if the product is already registered.)

Step 2. Activate
Type the Activation Code/serial number received after registration to activate ServerProtect.
(Press [Ctrl+D] to abort activation.)

Activation Code/serial number:

测试的话,直接按[Ctrl+D]退出即可。
二、配置
从前面的安装过程可以看到,核心的模块没有识别到,所以加载防病毒软件的核心模块,也就无法启动实时扫描(Real-time Scan)。需要这样的修改:
# cd /opt/TrendMicro/SProtectLinux/SPLX.module/
# uname -r
2.6.9-11.19AX
# cp splxmod-2.6.9-22.0.2.EL.o splxmod-2.6.9-11.19AX.o

重新启动监控服务:
引用
# service splx restart
Shutting down ServerProtect for Linux:
Shutting down splxcore:
Shutting down vsapiapp:                                    [FAILED]
Unloading splx kernel module:                              [FAILED]
Shutting down entity:                                      [  OK  ]
ServerProtect for Linux core stopped normally.
                                                          [  OK  ]
Shutting down splxhttpd:
Shutting down splxhttpd:                                   [  OK  ]
ServerProtect for Linux httpd stopped normally.
                                                          [  OK  ]
ServerProtect for Linux stopped normally.
Starting ServerProtect for Linux:
Checking configuration file:                               [  OK  ]
Starting splxcore:
Starting Entity:                                           [  OK  ]
Loading splx kernel module:                                [  OK  ]
Starting vsapiapp:                                         [  OK  ]
ServerProtect for Linux core started.
                                                          [  OK  ]
Starting splxhttpd:
Starting splxhttpd:                                        [  OK  ]
ServerProtect for Linux httpd started.
                                                          [  OK  ]

ServerProtect for Linux started.

可以看到,启动都正常了。
三、使用
   趋势ServerProtect for Linux 2.5暂时只有英文版,可通过KDE桌面和http、https方式进行管理和控制,另外,也可加入Trend Micro Control Manager管理中心。详细请参考产品的安装说明,这里以Web管理为例:
   Web有两个访问端口:14942是http、14943是https
   访问方式可通过浏览器进行:
引用
http://:14942/
https://:14943/

四、使用界面
KDE界面:
点击在新窗口中浏览此图片
Web界面:
点击在新窗口中浏览此图片
点击在新窗口中浏览此图片
五、卸载
删除对应的rpm包:
引用
# rpm -e SProtectLinux
Shutting down ServerProtect for Linux:
Shutting down splxcore:
Shutting down vsapiapp:                                    [  OK  ]
Unloading splx kernel module:                              [  OK  ]
Shutting down entity:                                      [  OK  ]
ServerProtect for Linux core stopped normally.
                                                          [  OK  ]
Shutting down splxhttpd:
Shutting down splxhttpd:                                   [  OK  ]
ServerProtect for Linux httpd stopped normally.
                                                          [  OK  ]
ServerProtect for Linux stopped normally.

最后把剩余的空目录也删除即可:
rmdir /opt/TrendMicro/

六、附录
趋势ServerProtect for Linux 2.5相关文件。
软件包:
下载文件
这个文件只能在登入之后下载。请先 注册登入

安装和使用说明:

版权和说明Readme:
Tags:
linuxing Email Homepage
2007/03/16 15:19
该产品有30天的测试时间,之后就需要收费了。
但是,你也可以使用一些开源的防火墙软件,例如clamav,它有专门对于samba的模块,前面的blog有描述;另外,还有一些国外针对linux平台的商业产品,也可以在0day找到方便的下载,他们的功能不会比趋势差。
小强
2007/03/16 08:56
前段时间,我单位的Red Hat也出现类似现象,www服务中了病毒,后来经卡巴斯基分析,是”熊猫烧香“。初时束手无策,因为以前没有接触过linux,后来用samba把WWW目录作为root用户共享给Windows,在xp上
把www映射为网络驱动器,用卡巴斯基杀了。
你这个”趋势ServerProtect for Linux 2.5“不交钱能正常使用吗?
分页: 1/1 第一页 1 最后页
发表评论
表情
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
打开HTML
打开UBB
打开表情
隐藏
记住我
昵称   密码   游客无需密码
网址   电邮   [注册]