ComBioLaw.De » Blog » ไอที » Virus on Linux
Virus on Linux
ไม่กี่วันมานี้เครื่องผมก็มีอาการคล้าย ๆ กับตอนนั้น คือมีอาการแพร่เชื้อ ตอนใช้งานเครื่องตัวเองก็ปกติ ไม่มีอะไรผิดสังเกต แต่มีคนเตือนผมสองคนแล้วว่า เวลาออนเอ็มจะได้รับไฟล์แปลก ๆ จากเครื่องผม ทั้งที่ผมออฟไลน์ ก่อนที่ผมจะได้รับคำด่าว่าเป็นตัวแพร่เชื้อ ก็เลยต้องหาวิธีสแกนไวรัสบนเครื่องดู จากการหาแพกเกจใน apt-get ก็ปรากฏว่าใน Ubuntu มีโปรแกรมแอนตี้ไวรัสให้ใช้อยู่แล้ว นั่นคือโปรแกรม ClamAV เมื่อเป็นเช่นนี้ก็ต้องติดตั้งโปรแกรมที่ว่าผ่าน apt-get เพื่สแกนหาไวรัสโดยด่วนด้วยคำสั่ง
sudo apt-get install clamav clamav-freshclam clamav-daemon avscanคำสั่งข้างบนติดตั้งแพกเกจต่าง ๆ ดังต่อไปนี้ ... |
|
ในการลองครั้งแรก ผมเลือกที่จะใช้ avscan ก่อน การใช้งาน avscan ค่อนข้างง่ายและ intuitive เหมือนโปรแกรมสแกนไวรัสทั่วไป เพียงแค่เลือกว่าจะสแกนโฟลเดอร์ไหน กดสตาร์ท ที่เหลือก็ได้แต่นั่งรอ การกดสตาร์ทครั้งแรก โปรแกรมก็ฟ้องว่ารายชื่อไวรัสที่มีเก่าแล้ว ให้อัพเดทโดยด่วน ซึ่งสามารถทำได้โดยกดปุ่ม Ctrl + F12 หรือรันคำสั่งต่อไปนี้บนเชล
sudo freshclam ที่น่าประทับใจคือ ใช้เวลาในการอัพเดทน้อยมาก ประมาณครึ่งนาที ต่างจากโปรแกรมประเภทเดียวกันที่เคยใช้ ที่นอกจากจะใช้เวลาอัพเดทนานแล้ว ยังบังคับให้รีบูทเครื่องอีก (ขณะนี้ ClamAV รู้จักโปรแกรมไม่พึงประสงค์กว่า 360,000 ประเภท) ด้วยความซ่า ผมสั่งให้โปรแกรมสแกน root directory (/) เสียเลย จะได้ไม่ต้องสแกนบ่อย ๆ ปรากฏว่า โอ้โห .... สแกนไปแปดชั่วโมงก็ยังไม่เสร็จ แถมไม่บอกอีกว่าสแกนไปถึงไหนแล้ว ก็เลยฆ่าโปรแกรมเสีย แล้วเริ่มสแกนใหม่ผ่านเชลด้วยคำสั่ง
clamscan -r -v /home -l /tmp/clam.log คำเตือน ไม่ควรสแกน root directory เพราะมันจะไปติดแหง็กอยู่กับ device ที่ไหนสักแห่ง และควรมีออพชั่น -l ตามด้วยชื่อไฟล์เสมอ เพื่อใช้ในการเก็บ log file เพราะโปรแกรม ClamAV มันสแกนอย่างเดียว ไม่ลบ หรือฆ่าไวรัสให้ การลบหรือฆ่าไวรัส เป็นหน้าที่ของเรา ซึ่งหากไม่เก็บ log file เอาไว้ก็จะรู้แค่ว่ามีไวรัสกี่ตัว แต่ไม่รู้ว่าอยู่ที่ไหน :P จากคำสั่งข้างบนผลที่ได้คือ เราสั่งให้สแกนไฟล์ และโฟลเดอร์ใน /home แบบ recursive (-r) และ verbose(-v) ผลที่ได้เก็บไว้ใน /tmp/clam.log (-l /tmp/clam.log) ไฟล์ใน /home ของผมมีกว่า 60 GB ใช้เวลาสแกนกว่า 4 ชั่วโมง ซึ่งผมก็บอกไม่ได้เหมือนกันว่าช้าหรือเร็ว เพราะไม่เคยใช้โปรแกรมตัวอื่นสแกนไฟล์ปริมาณขนาดนี้ ClamAV มีความสามารถพิเศษอย่างหนึ่งคือ จะสแกนไฟล์ที่อยู่ในไฟล์รูปแบบที่บีบอัดไว้แล้วพวก .zip, .tar.bz2, .tar.gz, .tgz ได้ด้วย แต่เท่าที่สังเกต ไฟล์ .zip จะใช้เวลานานเป็นพิเศษ เมื่อ ClamAV เจอไฟล์ที่สงสัยว่าจะติดไวรัส มันก็จะฟ้องว่า /directory/file.doc VIRUS.virusname.version FOUND ดังนั้นเมื่อสแกนเสร็จให้เปิดไฟล์ /tmp/clam.log หรือ log file ที่กำหนด แล้วหาคำว่า FOUND จากนั้นก็จัดการกับไฟล์ที่น่าสงสัยตามใจชอบ จากการสแกน ผมเจอโทรจันไปหนึ่งตัว กับ Malware อีกหนึ่งตัว ก็เลยจัดการลบซะ ซึ่งทั้งสองตัวไม่เกี่ยวกับ Pidgin โปรแกรมที่ผมใช้ออนเอ็มแต่อย่างใด ดังนั้นหากใครได้ไฟล์แปลก ๆ จากเครื่องผม ผมต้องบอกว่า "ผมไม่รู้ ผมสแกนไวรัสแล้ว :P" นอกจาก /home แล้วไดเรคทอรี่อื่น ๆ ที่ควรสแกน ได้แก่ /etc, /usr, /var ซึ่งผมใช้เวลาในการสแกนสามไดเรคทอรี่ที่ว่า รวมใช้เวลาครึ่งชั่วโมงเท่านั้น (ตอนสแกนไดเรคทอรี่ระบบ อย่าลืมคำสั่ง sudo) การสแกนไฟล์ประเภท สแกนหมดทุกไฟล์ ทุกไดเรคทอรี่ ด้วยคำสั่ง clamscan ควรทำครั้งแรกครั้งเดียวเท่านั้น เพราะเสียเวลา และทรัพยากรระบบพอสมควร หลังจากนั้นเราควรใช้ความสามารถของ clamd ให้เป็นประโยชน์ clamd จะเลือกตรวจสอบเฉพาะไฟล์ที่ติดต่อกับโลกภายนอกผ่านเนตเวิร์คเท่านั้น ซึ่งทำให้ปรหยัดเวลาและทรัพยากรได้มากทีเดียว โดยปกติดแล้ว เวลาติดตั้ง clamav-daemon เสร็จ clamd จะถูกบรรจุอยู่ใน init.d โดยอัตโนมัติ ทำให้ clamd ถูกเรียกใช้งานทุกครั้งที่บูทเครื่อง เราไม่ต้องเรียกใช้งานผ่านเชลเองอีก แต่หากไม่แน่ใจ ก็สามารถเพิ่ม clamd ลงใน init.d ด้วย rcconf อีกที
sudo apt-get install rcconf เมื่อเรียกโปรแกรม rcconf ขึ้นมาแล้ว ก็เลือกโปรเซส clamav-daemon, clamav-milter, clamav-freshclam ลงไป กด enter ก็เป็นอันเสร็จพิธี นอกจากการตรวจสอบไฟล์ที่ติดต่อกับเนทเวิร์คแล้ว ClamAV ยังมีความสามารถตรวจสอบไฟล์ที่ถูกเปิดล่าสุด (on access scanning) ได้อีกด้วย โดย ClamAV จะทำงานร่วมกับ Dazuko แต่พอดี Dazuko ไม่ได้อยู่ใน apt-get และผมไม่มีความรู้สึกว่าจำเป็นต้องใช้ เลยไม่ได้ลอง แต่ฟีเจอร์นี้ น่าจะเป็นฟีเจอร์ที่สำคัญทีเดียว สำหรับงานระดับองค์กร |
|
ตั้งแต่ผมใช้ Linux มายังไม่เคยมีปัญหาเกี่ยวกับไวรัส หรือสปายแวร์แบบจริง ๆ จัง ๆ อย่างมากก็แค่เป็นพาหะนำโรค ตัวเองไม่เป็นอะไร แต่นำเชื้อไปติดคนอื่น เครื่องผมเคยเป็นตัวแพร่เชื่อ ถึงขนาดแอดมินที่หอนักเรียนที่ผมเคยอยู่ ตัดเครื่องผมออกจากเนตเวิร์คของหอ จนกว่าผมจะสามารถกำจัดไวรัสตัวนั้นได้ (คนอื่นเขาติดกันหมด แต่เครื่องผมอาการยังดีอยู่) เนื่องจากว่าตอนนั้นไม่รู้จะทำยังไง เลยใช้วิธีฟอร์แมตเครื่องแล้วลงใหม่เอา
bow_der_kleine
หากหาไวรัสของ Windows ไม่เจอก็แย่เลยครับ เพราะนั่นแหละที่ผมต้องการ หวังว่าคงได้รับการปรับปรุง ให้หาไวรัสของ Windows ได้ดีขึ้นแล้ว ไม่อย่างนั้น คนอื่นคงต้องรับกรรมการเป็นพาหะของผมต่อไป (รู้สึกเป็นคนเลวยังไงไม่รู้) |
bow_der_kleine
au8ust : เป็นข้อยืนยันที่เพิ่มความหวาดระแวงให้ผมพอสมควรเลยครับ ท่าทางต้องหาวิธีอื่นจริง ๆ Joe : ผมเข้าใจว่า มันไม่เป็นอันตรายกับเครื่องเราครับ เพราะเท่าที่ผมใช้เครื่องก็ทำงานปกติ ไม่มีอาการอะไรทั้งสิ้น แต่มีคนบอกว่าได้รับข้อมูลแปลก ๆ ผ่าน MSN จากเครื่องผม ทั้งที่ผมออฟไลน์ (ผมใช้ pidgin) ซึ่งสาเหตุก็เป็นไปได้ต่าง ๆ นานา ผมเลยต้องลองสแกนไวรัสดูครับ |
คิดสั้น โคตรสนองมากมาก
ยืนยันด้วยอีกคน หนูเพิ่งเจอไปเต็มๆตีนเลยค่ะ โดรับไปเต็มๆ นึกว่าจะได้รับไฟล์มานั่งเสียวเล่น กว่าจะนึกออกว่าภาษาอังกฤษของน้องที่ได้รับมันฟังดูเกินเหตุก็ง่อยแด๊กไปแล้ว พยายามปฐมพยาบาลเบื้องต้นก็แล้วป่านนี้ยังแก้ไม่ได้เลย สงสัยว่าต้องพาไปพบคุณหมอด่วนซะแล้ว |
AnnoMundi
ผมก็ใช้ Linux ที่บ้านแต่ไม่ได้ใช้พวก Anti virus เลยเหมือนกัน แต่เครื่อง Server ผมเคยใช้ ClamAV เหมือนกันแต่เซ็ตไว้ตรวจไวรัสที่ผ่านเข้าออก Mail Server แค่นั้น นอกนั้นใช้ rkhunter กับ chkrootkit ไว้แสกนหาพวก rootkit วันละครั้ง |
ABZee
เคยเอาไปใช้บน Windows XP แต่ปรากฏว่ามันไม่เจอไวรัส ทั้งๆที่ตอนนั้นก็เห็นอยู่จะๆว่าโดนไวรัสเล่นงาน ตั้งแต่นั้นก็ไม่ได้แตะอีกเลย ปล. กรณี msn อาจเป็นเพราะเคยโดน phishing ไปรึเปล่าครับ? ลองเปลี่ยน password ดูอาจจะหาย
20 Jul 08