< จับตายไวรัสร้ายด้วยลีนุกซ์เซิร์ฟเวอร์ - linux antivirus ลีนุกซ์ ไวรัส ป้องกัน
| Home | Articles | Webboard | Download | LHC | LSC | Training Courses |

จับตายไวรัสร้ายด้วยลีนุกซ์เซิร์ฟเวอร์

โดย ธีรภัทร มนตรีศาสตร์,RHCE

"เมื่อเครื่องมือตรวจจับที่ทรงประสิทธิภาพทำงานอย่างขมักเขม้นอยู่บนระบบปฏิบัติการที่ไม่ตกเป็นเป้าหมาย.. ไวรัสหน้าไหนจะหลุดรอดไปได้" การแพร่กระจายและการติดเชื้อไวรัสในระบบคอมพิวเตอร์เป็นสาเหตุที่ก่อให้เกิดความเสียหายอย่างรุนแรงต่อองค์กร โดยเฉพาะอย่างยิ่งในปัจจุบันที่มีการเชื่อมต่อระบบเครือข่ายภายในองค์กรออกสู่อินเตอร์เน็ตยิ่งทำให้โอกาสที่จะได้รับผลกระทบจากปัญหาไวรัสเพิ่มสูงขึ้น มีผลทำให้ความสามารถในการผลิตขององค์กรลดต่ำลง ดังนั้นบริษัทองค์กรต่าง ๆ จึงต้องหาทางป้องกันปัญหาจากไวรัส ซึ่งหมายถึงต้นทุนการดำเนินงานที่สูงขึ้นนั่นเอง จากจำนวนของไวรัสคอมพิวเตอร์ที่เพิ่มมากขึ้นทุกวัน หากพิจารณาในส่วนของระบบปฏิบัติการแล้ว ระบบปฏิบัติการวินโดวส์จะตกเป็นเป้าหมายของการทำลายและแพร่เชื้อมากกว่าระบบปฏิบัติการลีนุกซ์ ทั้งนี้เนื่องจากไวรัสส่วนมากจะสามารถแพร่เชื้อและทำงานต่อได้เฉพาะระบบปฏิบัติการใดระบบปฏิบัติการหนึ่งที่ถูกกำหนดไว้เท่านั้น ถึงแม้ไวรัสส่วนใหญ่จะไม่สามารถสร้างความเสียหายให้แก่ลีนุกซ์ได้ก็ตาม แต่ในฐานะเซิร์ฟเวอร์แล้วระบบปฏิบัติการลีนุกซ์ก็อาจจะตกอยู่ในฐานะ "พาหะ" ผู้นำไวรัสไปสู่เครื่องคอมพิวเตอร์อื่น ๆ ในระบบได้เช่นเดียวกับเซิร์ฟเวอร์วินโดวส์ โดยเฉพาะเครื่องเซิร์ฟเวอร์ลีนุกซ์ที่ทำหน้าที่เป็น ไฟล์เซิร์ฟเวอร์ และเมล์เซิร์ฟเวอร์ ดังนั้นซอฟต์แวร์ป้องกัน และกำจัดไวรัส ( Anti-Virus Software ) สำหรับระบบปฏิบัติการ
ลีนุกซ์จึงเน้นไปที่การทำงานร่วมกับซอฟต์แวร์ที่เป็นเมล์เซิร์ฟเวอร์ ( SMTP Mail Server ) เป็นหลัก และเสริมความสามารถในการตรวจจับไวรัสในระบบไฟล์อีกส่วนหนึ่งเพื่อรองรับการตรวจจับไวรัสในแฟ้มข้อมูลต่าง ๆ ในฐานะไฟล์เซิร์ฟเวอร์
แต่สำหรับไวรัสประเภทที่มุ่งเจาะระบบปฏิบัติการลีนุกซ์เป็นการเฉพาะนั้นก็มีอยู่บ้าง แต่มีจำนวนไม่มากนัก และมีพฤติกรรมเฉพาะที่สามารถตรวจจับได้ง่ายด้วยซอฟต์แวร์โอเพ่นซอร์ส ซึ่งมักจะอยู่นอกเหนือหน้าที่ของซอฟต์แวร์ป้องกันไวรัส และเป็นหน้าที่ของผู้ดูแลระบบที่ต้องบริหารจัดการลีนุกซ์เซิร์ฟเวอร์เองอยู่แล้ว โดยอาศัยซอฟต์แวร์ประเภท IDS ( Intrusion Detection System ) ซอฟต์แวร์ Anti-Virus สำหรับลีนุกซ์ มีซอฟต์แวร์ Anti-Virus เป็นจำนวนมากที่สนับสนุนระบบปฏิบัติการลีนุกซ์โดยเฉพาะ ทั้งที่เป็นซอฟต์แวร์เชิงพาณิชย์ และโปรเจคโอเพ่นซอร์ส ให้เลือกใช้งานตามความต้องการ โดยมีข้อควรพิจารณาที่สำคัญคือ
  • คุณสมบัติของตัวซอฟต์แวร์
  • ประสิทธิภาพ และความเชื่อถือได้
  • ราคา ( ต่อเซิร์ฟเวอร์ / เครื่องลูกข่าย )
  • การอัพเดต/อัพเกรดซอฟต์แวร์ และไฟล์ข้อมูลไวรัสใหม่ ๆ
  • สำหรับความเห็นของผู้เขียนแล้ว ซอฟต์แวร์ป้องกันไวรัสในองค์กรควรเลือกใช้ทั้งซอฟต์แวร์เชิงพาณิชย์ และโปรเจคโอเพ่นซอร์ส ไปพร้อมกันทั้งสองประเภท โดยสัดส่วนการนำมาใช้จะขึ้นอยู่กับความสามารถของผู้จัดการระบบว่ามีความพร้อมที่จะบำรุงรักษาซอฟต์แวร์ประเภทโอเพ่นซอร์สได้มากน้อยแค่ไหน เปรียบเทียบกับผลิตภัณฑ์สำเร็จรูปที่มีการสนับสนุนด้านเทคนิคแล้ว คงต้องเป็นหน้าที่ของผู้บริหารระบบคอมพิวเตอร์ที่ต้องตัดสินใจ Panda Anti-virus ผู้เขียนจะขอแนะนำซอฟต์แวร์ป้องกันไวรัสที่ได้ทำการทดสอบมาแล้ว และใช้งานได้ผลดีกับระบบปฏิบัติการลีนุกซ์ Red Hat 7.3 คือ Panda Anti-Virus ซึ่งเป็นซอฟต์แวร์เชิงพาณิชย์ และในตอนท้ายจะแนะนำซอฟต์แวร์โอเพ่นซอร์สที่ไม่เสียค่าใช้จ่ายใด ๆ อีกจำนวนหนึ่ง Panda Anti-virus ผลิตภัณฑ์ด้านซอฟต์แวร์ป้องกันไวรัสของ Panda มีอยู่เป็นจำนวนมาก ครอบคลุมการใช้งานกับระบบปฏิบัติการต่าง ๆ ที่เป็นที่นิยมกันในปัจจุบัน ตั้งแต่ MS Windows ทุกรุ่น, Novell Netware และ Linux โดยมีตัวแทนจำหน่ายและสนับสนุนด้านเทคนิคในประเทศไทย ในส่วนของระบบปฏิบัติการลีนุกซ์แล้ว มีซอฟต์แวร์ที่น่าสนใจ คือ
  • Panda Antivirus for Linux เป็นโปรแกรมค้นหาและกำจัดไวรัสที่ทำงานแบบคอมมานด์ไลน์ จึงเหมาะกับไฟล์เซิร์ฟเวอร์ เครื่องเวิร์คสเตชั่นลีนุกซ์ และการป้องกันไวรัสทั่วไปภายในระบบไฟล์ของระบบปฏิบัติการ
  • Panda PerimeterScan Sendmail Edition ทำงานร่วมกับ Sendmail ( SMTP Server ) ตั้งแต่รุ่น 8.11.3 ขึ้นไป สามารถบริหารจัดการผ่านเว็บบราวเซอร์จากเครื่องลูกข่ายได้ ใช้เนื้อที่ดิสก์ในการติดตั้งเพียง 80 MB เท่านั้น และต้องการชื่อยูสเซอร์ "panda" จำนวน 1 แอคเค้าท์
  • Panda Per imeterScan Qmail Edition มีคุณสมบัติคล้ายกับ Sendmail Edition แต่จะทำงานกับ Qmail เวอร์ชั่น 1.03
  • ทดลองติดตั้งและใช้งาน Panda Perimeter Sendmail Edition ผู้เขียนได้ทดลองติดตั้งและใช้งานในระบบปฏิบัติการลีนุกซ์ Red Hat 7.3 โดยคอนฟิกเป็นเมล์เซิร์ฟเวอร์ใช้ Sendmail เป็น SMTP และเปิดให้บริการ POP3/IMAP ไว้ตามปรกติ แล้วติดตั้งซอฟต์แวร์ของ Panda ลงไปภายหลัง ซึ่งจะเป็นแพคเกจไฟล์ในแบบ Tarball เมื่อทำการ Extract ออกมาแล้วจะได้ไฟล์จำนวนหนึ่ง การเพิ่มชื่อยูสเซอร์ panda เป็นสิ่งจำเป็นในการติดตั้ง จากนั้นจะเริ่มทำการติดตั้งโดยรันสคริปต์ install กระบวนการติดตั้งจะเป็นไปโดยอัตโนมัติ และรันเซอร์วิสคอยตรวจจับไวรัสในระบบ ซึ่งผู้ดูแลระบบสามารถใช้เว็บบราวเซอร์ ( เป็น Internet Explorer 4.0 หรือเทียบเท่า ) เข้ามามอนิเตอร์การทำงานของโปรแกรมนี้ได้จากเครื่องอื่น ๆ ในระบบเครือข่าย ดังภาพที่ผู้เขียนทดสอบโดยการแนบไฟล์ไวรัสและโทรจันมากับอีเมล์ จะเห็นได้ว่าสามารถดักจับไวรัสไว้ได้ มีรายงานให้ตรวจสอบได้ในภายหลัง และสามารถอัพเดตรายชื่อไวรัสผ่านทางเว็บไซต์ของ Panda ได้อย่างง่ายดาย


    URL ที่เข้าสู่หน้าเมนูของโปรแกรม




    มอนิเตอร์การทำงานของ Panda Sendmail และรายงานสถิติต่าง ๆ





    รายงานผลการตรวจพบและกำจัดไวรัส มีรายละเอียดของวันเวลา,ชื่อไฟล์ที่พบไวรัส,ชื่อ subject ของอีเมล์,ชื่อผู้ส่ง,ผู้รับ,ชนิดของเอกสารที่แนบมา,ชื่อไวรัส และผลการจัดการไวรัสนั้น





    ผลการตรวจจับโปรแกรม SMBdie.exe ซึ่งเป็นเครื่องมือโจมตีทางเครือข่าย





    รายงานเกี่ยวกับไฟล์รายชื่อไวรัส และแจ้งสถานะว่าหมดอายุการใช้งานแล้ว





    สถานะของโปรแกรมภายหลังจากต่ออายุการใช้งานแล้ว



    ส่วนการป้องกันไวรัสที่เข้ามาจากช่องทางอื่น ๆ แล้วปรากฏในระบบไฟล์ของระบบปฏิบัติการ
    ลีนุกซ์จะเป็นหน้าที่ของโปรแกรม Panda Antivirus for Linux ซึ่งใช้ไฟล์รายชื่อไวรัสร่วมกันกับ Panda Perimeter Sendmail Edition โดยมีการทำงานในแบบคอมมานด์ไลน์ จึงมีความยืดหยุ่นสูง ผู้ดูแลระบบสามารถการประยุกต์ใช้งานได้ด้วยเชลล์สคริปต์ เหมาะกับการแสกนไวรัสตามเวลาที่กำหนด การแสกนไวรัสทันทีเมื่อผู้ใช้งานเข้าใช้งานหรือออกจากการใช้งานไฟล์เซิร์ฟเวอร์ ( Samba ) เป็นต้น
    ผู้เขียนได้ทดสอบการแสกนไวรัสและการอัพเดตผ่านอินเตอร์เน็ต พบว่า PAV สามารถทำงานได้เป็นอย่างดี และมีลูกเล่นใน Command Line ที่น่าสนใจ



    ขณะที่ PAV กำลังทำงาน





    พบไวรัส CIH โดยผู้เขียนระบุให้แก้ไขปัญหาด้วยการเปลี่ยนชื่อไฟล์ ด้วยพารามิเตอร์ -REN





    ระบุให้แสกนที่แผ่นดิสก์ พบไวรัส Die Hard 2 ( แต่ไม่ได้สั่งให้ทำลาย )





    แสดงพารามิเตอร์คำสั่งทั้งหมดของ PAV





    หากไม่ระบุพารามิเตอร์ -AUT จะมีการสอบถามว่าจะทำอย่างไรต่อไปเมื่อพบไวรัส





    รายงานการตรวจจับและทำลายไวรัสจะเก็บไว้ใน Log ให้ตรวจสอบได้ภายหลัง



    ซอฟต์แวร์กำจัดไวรัสฟรีสำหรับลีนุกซ์ ซอฟต์แวร์กำจัดไวรัสที่เป็นฟรีซอฟต์แวร์ในปัจจุบันจะมีให้พบเห็นไม่มากนัก ส่วนหนึ่งเนื่องมาจากที่ซอฟต์แวร์ประเภทนี้จำเป็นต้องมีการให้บริการระหว่างการใช้งาน ไม่ว่าจะเป็นการแจ้งข่าวสาร การสนับสนุนข้อมูลทางเทคนิค การอัพเดตทั้งตัวโปรแกรมแสกน และไฟล์ข้อมูลรายชื่อไวรัสใหม่ ๆ อย่างต่อเนื่อง จึงทำให้มีต้นทุนของการให้บริการค่อนข้างมาก หากดำเนินงานโดยลักษณะให้ฟรีโดยไม่คิดมูลค่าใด ๆ บ้างเลย ย่อมทำให้คุณภาพของซอฟต์แวร์และการบริการลดลงไปอย่างแน่นอน
    อย่างไรก็ตามซอฟต์แวร์ป้องกันไวรัสและความเสี่ยงเกี่ยวกับสิ่งแปลกปลอมสำหรับระบบปฏิบัติการ
    ลีนุกซ์ก็พออยู่บ้าง ดังนี้
  • AmaVis เป็นโปรแกรมตรวจสอบไฟล์ Attachment ที่มากับอีเมล์ สามารถทำงานร่วมกับโปรแกรม SMTP Server ของลีนุกซ์ได้แทบทุกโปรแกรม เพราะมีโครงสร้างของตัวโปรแกรมเป็นภาษา Perl ซึ่งเป็นมาตรฐานในระบบยูนิกซ์อยู่แล้ว และเป็นโอเพ่นซอร์สอย่างสมบูรณ์แบบ มีให้ดาวน์โหลดได้ที่ http://www.amavis.org
  • Sophos เป็นโปรแกรมแสกนและกำจัดไวรัส ที่มาพร้อมกับความสามารถในการอัพเดตฐานข้อมูลไวรัสผ่านอินเตอร์เน็ต ดังนั้นจึงไม่ฟรีในด้านการให้บริการ สามารถดูข้อมูลเพิ่มเติมได้ที่ http://www.sophos.com
  • Spamassassin โปรแกรมป้องกันและกำจัด Spam Email ถึงจะไม่เกี่ยวข้องกับไวรัสโดยตรงแต่ก็ช่วยลดปัญหาที่จะนำไวรัสเข้ามาสู่ระบบได้อีกทางหนึ่ง เป็นซอฟต์แวร์โอเพ่นซอร์สที่สามารถดาวน์โหลดได้จาก http://spamassassin.org
  • OpenAntivirus โปรแกรมต่อต้านไวรัสที่เป็น GPL มีคุณสมบัติน่าสนใจมากมาย อีกทางเลือกสำหรับผู้ที่ชื่นชอบโอเพ่นซอร์ส หาดาวน์โหลดได้ฟรีที่ http://www.openantivirus.org


  • เขตปลอดเชื้อไวรัส ไวรัสคอมพิวเตอร์คงจะเป็นปัญหาหนึ่งที่เราจะต้องเผชิญหน้า และอยู่ร่วมกับมันไปอีกนาน จำนวนของไวรัสที่เพิ่มขึ้นถึงกว่าหกหมื่นตัว กับรูปแบบการเชื่อมต่อเครือข่ายที่พัฒนาขึ้นจะเป็นปัจจัยทำให้เกิดไวรัสใหม่ ๆ ขึ้นอีก ยังไงผู้เขียนก็ขอให้คุณโชคดี ได้ซอฟต์แวร์ป้องกันไวรัสที่ถูกใจ เหมาะสมกับองค์กร และไม่ต้องปวดหัวกับไวรัสไม่ว่าจะเป็นสายพันธุ์ไหน เพราะมันไม่ใช่เรื่องสนุกเลยถ้าต้องเผชิญหน้ากับมัน