关于袁萌的Linux木马文章的几点看法

这几天看世界杯作息颠倒，漫漫长夜无心睡眠，顺便给开源软件做点翻译，翻译之余灭几篇GR文章，在列表模式扫视时，发现这标题《袁 萌:Linux木马（Trojan）跑出来了》大亮，提供我感兴趣的娱乐文章的文章，必须一看。

看袁萌的文章早就想这次会不会又提到他的U盘，看到最后一段还是没有令我失望。虽然有道是“认真你就输了”，还有被告诫要尊重老人，但这篇文章实在 吐嘈点实在太多了，如鲠在喉不吐不快，反正也是无聊。

为了确保没吐错对象，找了袁萌的原文再看一遍。

对袁老爷的措辞我就不好说什么了，人家有人家的风格。不过对标点用法我就有点意见，加引号应该是有另外特别意思，不过联系上下文，怎么看“后门”和 “checksum”都不觉有特别意思，就是原意啊。还有“Sophos实验室”，“Linux实验室”用书名号框起来也有点怪怪的，这种标点用法有装逼 嫌疑。

好了，言归正传。对于说Linux木马问题，却没有提供新闻来源一个链接，我深深怀疑，也奇怪为什么袁老爷总是能知道不少这种很冷门新闻，到底哪里 来的？看得《流言终结者》多了，我也有点考据癖，于是对文章提到的内容做了考查。

先来看那个“UnrealLIRC.com” 网站，我Google 了一下，结果是Google提示我是不是“unrealircd.com”，结果几乎全是袁老爷这篇文章，袁老爷是打错了，还是炮制假新闻？不过 相信袁老爷的人品不会那么差的，点开了ww.unrealircd.com看， 发现这篇《Some versions of Unreal3.2.8.1.tar.gz contain a backdoor》公告，确实是这个网站了，没错 了。

那个网站是UnrealIRCd，分开看应该是“Unreal IRC d”，“d”应指daemon，也就是个IRC的的服务端，很好记，不过这都打错也太不必了吧。

看完那篇公告后，还真不像袁老爷在文章说的一回事。

6月12日，UnrealLIRC.com网站管理员垂头丧气地出来承认，他们的Unix/Linux源代码库（下载源）遭到了恶人 破坏，被偷偷地篡改了一个源代码文件，里面留下一个“后门”，随着下载，跑出去一只木马（Trojan），并且说，这个情况是去年9月份发生的。

根据公告的内容（前提我没理解错）

• 有问题的只有“Unreal3.2.8.1.tar.gz”一个文件
• 这个后门能以运行ircd的帐号权限执行任意命令
• 被替换日期是09年的11月10号
• 官方预编译的二进制版本安全
• CVS代码仓库安全
• 比3.2.8更早的版本安全
• 在09年的11月10号前下载“Unreal3.2.8.1.tar.gz”的也可能安全。

因此袁萌在文章很有问题。

• 不是9月份，我在那公告没有找到“Sep”关键词，是11月份。
• 后门只能以运行ircd的帐号执行命令，除非是通过下载来运行另一个木马，不然破坏性还是有限。
• 源代码库没问题，而是仅仅一个源代码压缩包被替换，实际上这个网站也没有所谓软件仓库的下载源。
• 这个程序还是支持Windows的，并非单单Linux，不过既然是Linux，Unix的也可能编译运行。

所以这问题说Linux有木马一点关系都没有，明明是是个irc软件问题。狭义的Linux指内核，不过去搞Linus领导的那帮神仙的代码仓库纯 粹找死。一般指Linux是指发行版，但这个网站根本不提供软件仓库更新，哪来威胁？而且这个软件也有Windows版本，为什么单单说Linux？

时至今日，半年多时间已经过去了，也不知这只木马跑到了哪些地方，危害有多大？被感染的文件名，怎么用 “checksum”检查它的真伪，在此我们就不去细说了，请见：”Linux Trojan rears its ugly head”一文。总结起来说，这件事情是怎么发生的？澳大利亚《Sophos实验室》专家Peter Szabo指出，这个事故完全是网站管理员的工作失误所造成的，不是Linux本身有漏洞。

叫人去看《Linux Trojan rears its ugly head》却又不带链接，又有装逼嫌疑。我搜了一下，原文应该是这 里，提到的后门是这 个，文章里说UnrealIRCd这问题有几个原因

• 管理员没有监视文件的修改
• 下载没有提供校验码
• 镜像也没有做校验

现在的UnrealIRCd提供校验码，还使用PGP签名。事实上Linux的软件仓库本来就这么做的，Ubuntu更新软件，签名不对，提示你， 不过你要继续安装是你的事。

那个UnrealIRCd网站，我看了下header，用的是Debian的lenny，没有提到有什么漏洞，估计就是管理员被社工给人拿了帐号替 换了源代码文件，内部问题，有不是从外部入侵。要是普通用户中这个后门，要做到

• 有需要搭建IRC服务
• 不从仓库获取，不要二进制，从源码编译。
• 下载源码后没验证检验码，无视各种签名
• 顺列搞定编译依赖，编译完成
• 以高权限运行
• 等待被远程攻击者控制执行其它命令

我觉得这是一个很普通的问题，相信比这危害的问题多的是，比如谈论好多次“sudo rm -rf /”，许多什么Linux被入侵、Linux有木马最后都被归为用户个人习惯问题。即使是Windows，我也是认为用户习惯问题的。不过袁老爷可以领悟 出

Linux是源代码公开的操作系统，里面怎么会跑出一只木马？简直是荒唐透顶之事！这是怎么搞的？

在Linux世界里面，这是破天荒第一遭。荒唐，荒唐，简直是荒唐之极，网站管理员你吃的什么饭？

这个事故同时也给全球Linux用户敲响一次警钟：Linux不是对木马、病毒自然免疫的。

Linux系统跑出木马的故事教训了我们，不要以为Linux对病毒、木马具有自然的免疫力，Linux管理上就可以松松 垮垮，麻痹大意。

我也佩服了，不知道推特上各种折腾帝看到后有没有感到压力很大。

幸亏Linux下载源没有在中国境内，否则，网站的管理员听小科长的一句话，就会把Linux源代码文件改了，加上“自 主”两字，因为，我国境内的服务器必须服从国内的法律、法规。

网易、搜狐、LUPA，还有各个大学都有多种Linux软件仓库镜像，唉，原来它们都不在中国境内。我真怀疑您老能不能自己完整安装和配置一次 Ubuntu。这个“小科长”应该是老大哥吧。后面那句您在暗讽某旗还是某风？

平日，我们使用Linux，有人总是喜欢挑三拣四，嘴里面嘟嘟囔囔的。

我们置身事外，就别再多说什么了。

联系您老这篇文章，有点悖论的味道。

我此刻在想一个问题，建立一个流动性的《Linux实验室》，像个大篷车，一辆小面包拉起来就能走，到达目的地，半小时以 内就可系统安装完毕，U盘一插就开练。《Linux实验室》就像播种机，宣传队，要把自由软件（放入U盘）传播到祖国的四面八方，尤其是广大农村。我最喜 欢看现代农村连续剧，农村生活非常质朴、真实，没有城市人心里面的那些“鬼主意”和 “傲气”。我很可惜自己没有一位农村的亲人，人老了怕是回不到农村，那里是养育我们的土地母亲！

话题真飘忽，我到这里无力吐嘈了，又见U盘，你赢了。

以后就继续歌照唱，舞照跳，看看娱乐的文章哈哈哈笑好了。