首页 > 专利信息

clamav完整查杀linux病毒实战(转)

clamav完整查杀linux病毒实战(转)
开篇前⾔
Linux服务器⼀直给我们的印象是安全、稳定、可靠,性能卓越。由于⼀来Linux本⾝的安全机制,Linux上的病毒、⽊马较少,⼆则由于宣称Linux是最安全的操作系统,导致很多⼈对Linux的安全性有个误解:以为它永远不会感染病毒、⽊马;以为它没有安全漏洞。所以很多Linux服务器都是裸奔的。其实在这次事件之前,我对Linux的安全性⽅⾯的认识、重视程度也是有所不⾜的。系统的安全性是相对⽽⾔的,没有绝对的安全,风险⽆处不在。
案例描述
我们在云端(中信国际电讯CPC)的⼀台Linux 应⽤服务器时不时出现⽹络中断情况,最开始反馈到系统管理员和⽹络管理员哪⾥,以为是⽹络⽅⾯的问题。在监控系统后,发现在⼀些时间段出现⾼流量的情况,分析发现这台Linux服务器只安装了Tomcat应⽤程序,没有任何其它应⽤程序。产⽣如此⼤的流量很不正常,⽽且出现⽹络中断的时刻,就是系统产⽣⾼流量的时刻。当然这些都是我后来才了解到的⼀些情况,我没有这台服务器的权限,系统管理员我看看能分析出啥问题,所以将root账号权限给了我。
案例分析
我连接到服务器后,运⾏ifconfig命令,检查⽹卡的发送、接收数据情况,如下所⽰,⽹卡eth0累计发送了12.3TB的数据。这明显不太正常,显然有应⽤程序⼀直在往外发包。我特意对⽐了另外⼀台正常的服务器后,验证了这个事实。
那么是那个应⽤程序在⼀直往外发送包呢?我⾸先检查了Linux系统⽇志,发现了⼀些错误、告警信息。但是作⽤不⼤。于是在服务器上安装了NetHogs应⽤程序,实时监控Linux进程的⽹络带宽占⽤情况。
监控过程确实发现了⼀些异常情况的进程:
1:/home/WDPM/Development/WebServer/apache-tomcat-7.0.61/cmys ⼀直在往外发包
2:/usr/bin/bsd-port/agent ⼀直在往外发包。
3:./cmys⼀直在往外发包
4:不时出现下⾯⼤量异常进程
[root@LNX17 /]# ps -ef | grep getty
root      2012    1  0 May22 tty2    00:00:00 /sbin/mingetty /dev/tty2
root      2014    1  0 May22 tty3    00:00:00 /sbin/mingetty /dev/tty3
root      2018    1  0 May22 tty4    00:00:00 /sbin/mingetty /dev/tty4
root      2020    1  0 May22 tty5    00:00:00 /sbin/mingetty /dev/tty5
root      2022    1  0 May22 tty6    00:00:00 /sbin/mingetty /dev/tty6
root    13835 32735  0 01:02 pts/0    00:00:00 grep getty
[root@LNX17 tmp]# ll /usr/bin/bsd-port/
total 2324
-rwxr-xr-x. 1 root root 1135000 Jul 17 08:28 agent
-rwxr-xr-x. 1 root root      4 Jul 17 08:f
-rw-r--r--. 1 root root      27 Jul 21 12:42 cmd.n
-rw-r--r--. 1 root root      73 Aug 21 21:30 conf.n
-
rwxr-xr-x. 1 root root 1223123 Aug 21 04:08 getty
-rwxr-xr-x. 1 root root      5 Aug 21 04:08 getty.lock
搜索/usr/bin/bsd-port/agent等进程相关资料,发现很多关于⽊马、后门⽅⾯的⽂章,严重怀疑服务器被挂马了。⼿⼯杀进程或⼿⼯删
除/home/WDPM/Development/WebServer/apache-tomcat-7.0.61/cmys⽂件,发现不过⼀会⼉,⼜会出现相同的进程和⽂件。于是下载安装了AVG ANTIVIRUS FREE - FOR LINUX这款杀毒软件,但是启动服务失败,不想折腾,于是安装了ClamAV 杀毒软件
ClamAV介绍
ClamAV是⼀个在命令⾏下查毒软件,因为它不将杀毒作为主要功能,默认只能查出您计算机内的病毒,但是⽆法清除,⾄多删除⽂件。
ClamAV可以⼯作很多的平台上,但是有少数⽆法⽀持,这就要取决您所使⽤的平台的流⾏程度了。另外它主要是来防护⼀些WINDOWS病毒和⽊马程序。另外,这是⼀个⾯向服务端的软件。
下载ClamAV安装包
[root@LNX17 tmp]# wget nchc.dl.sourceforge/project/libpng/zlib/1.2.7/zlib-1.2.
1、zlib-1.2.安装
[root@LNX17 tmp]# tar xvzf zlib-1.2.
安装⼀下gcc编译环境: yum install gc
[root@LNX17 tmp]# cd zlib-1.2.7
多媒体中央控制器
[root@LNX17 zlib-1.2.7]#  CFLAGS="-O3 -fPIC" ./configure --prefix=
/usr/local/zlib/
[root@LNX17 zlib-1.2.7]# make && make install
2:添加⽤户组clamav和组成员clamav
[root@LNX17 zlib-1.2.7]# groupadd clamav
[root@LNX17 zlib-1.2.7]# useradd -g clamav -s /bin/false -c "Clam AntiVirus" clamav
[root@LNX17 zlib-1.2.7]#
3:安装Clamav-0.97.6
[root@LNX17 tmp]# tar xvzf clamav-0.97.
[root@LNX17 tmp]# cd clamav-0.97.6
[root@LNX17 clamav-0.97.6]# ./configure --prefix=/opt/clamav
--disable-clamav -with-zlib=/usr/local/zlib
[root@LNX17 clamav-0.97.6]# make
[root@LNX17 clamav-0.97.6]# make install
配置Clamav
1:创建⽬录
[root@LNX17 clamav-0.97.6]# mkdir /opt/clamav/logs
[root@LNX17 clamav-0.97.6]# mkdir /opt/clamav/updata
2:创建⽂件
[root@LNX17 clamav-0.97.6]# touch /opt/clamav/logs/freshclam.log
[root@LNX17 clamav-0.97.6]# touch /opt/clamav/logs/clamd.log
[root@LNX17 clamav-0.97.6]#
[root@LNX17 clamav-0.97.6]# cd /opt/clamav/logs
[root@LNX17 clamav]# cd logs
[root@LNX17 logs]# ls
clamd.log  freshclam.log
[root@LNX17 logs]# ls -lrt
total 0
-
rw-r--r--. 1 root root 0 Aug 21 22:10 freshclam.log
-rw-r--r--. 1 root root 0 Aug 21 22:10 clamd.log
3:修改属主
[root@LNX17 logs]# chown clamav:clamav clamd.log
[root@LNX17 logs]# chown clamav:clamav freshclam.log
[root@LNX17 logs]# ls -lrt
媒体播放total 0
-rw-r--r--. 1 clamav clamav 0 Aug 21 22:10 freshclam.log
-rw-r--r--. 1 clamav clamav 0 Aug 21 22:10 clamd.log
[root@LNX17 logs]#
4:修改配置⽂件
能量传送器
#vi /opt/clamav
/f
# Example 注释掉这⼀⾏. 第8 ⾏ 
LogFile /opt/clamav/logs/clamd.log  删掉前⾯的注释⽬录改为/opt/clamav/logs/clamd.log
    PidFile /opt/clamav/updata/clamd.pid 删掉前⾯的注释路径改为/opt/clamav/updata/clamd.pid
    DatabaseDirectory /opt/clamav/updata 同上
#vi /opt/clamav
蓝牙天线/f ,将Example 这⼀⾏注释掉。否则在更新反病毒数据库是就有可能出现下⾯错误 [root@LNX17 clamav]# /opt/clamav/bin/freshclam
ERROR: Please edit the example config file /opt/clamav/f
ERROR: Can't open/parse the config file /opt/clamav/f
5:升级病毒库
[root@LNX17 etc]# /opt/clamav/bin/freshclam
ERROR: Can't change dir to /opt/clamav/share/clamav
出现上⾯错误,直接创建⼀个⽂件夹并授权给clamav⽤户即可。
[root@LNX17 etc]# mkdir -p /opt/clamav/share/clamav
[root@LNX17 etc]# chown clamav:clamav /opt/clamav/share/clamav
[root@LNX17 etc]#
[root@LNX17 etc]# /opt/clamav/bin/freshclam
ClamAV update process started at Fri Aug 21 22:42:18 2015
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.97.6 Recommended version: 0.98.7
DON'T PANIC! Read www.clamav/support/faq
nonblock_connect: connect timing out (30 secs)
Can't connect to port 80 of host database.clamav (IP: 211.239.150.206)
Trying host database.clamav (120.29.176.126)...
nonblock_recv: recv timing out (30 secs)
WARNING: getfile: Download interrupted: Operation now in progress (IP: 120.29.176.126)
WARNING: Can't download main.cvd from database.clamav
Trying again in
ClamAV update process started at Fri Aug 21 23:03:32 2015
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.97.6 Recommended version: 0.98.7
DON'T PANIC! Read www.clamav/support/faq
Downloading main.cvd [100%]
main.cvd updated (version: 55, sigs: 2424225, f-level: 60, builder: neo)
Downloading daily.cvd [100%]
daily.cvd updated (version: 20817, sigs: 1537382, f-level: 63, builder: neo)
Downloading bytecode.cvd [100%]
bytecode.cvd updated (version: 268, sigs: 47, f-level: 63, builder: anvilleg)
Database updated (3961654 signatures) from database.clamav (IP: 219.94.128.99)
由于ClamAV不是最新版本,所以有告警信息。可以忽略或升级最新版本。病毒库需要定期升级,例如我第⼆天升级病毒库
[root@LNX17 ~]# /opt/clamav/bin/freshclam
ClamAV update process started at Mon Aug 24 10:10:25 2015
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.97.6 Recommended version: 0.98.7
DON'T PANIC! Read www.clamav/support/faq
main.cvd is up to date (version: 55, sigs: 2424225, f-level: 60, builder: neo)
Downloading daily-20818.cdiff [100%]
Downloading daily-20819.cdiff [100%]
Downloading daily-20820.cdiff [100%]
Downloading daily-20821.cdiff [100%]
Downloading daily-20822.cdiff [100%]
Downloading daily-20823.cdiff [100%]
Downloading daily-20824.cdiff [100%]
Downloading daily-20825.cdiff [100%]
Downloading daily-20826.cdiff [100%]
Downloading daily-20827.cdiff [100%]
Downloading daily-20828.cdiff [100%]
Downloading daily-20829.cdiff [100%]
daily.cld updated (version: 20829, sigs: 1541624, f-level: 63, builder: neo)
bytecode.cvd is up to date (version: 268, sigs: 47, f-level: 63, builder: anvilleg)
Database updated (3965896 signatures) from database.clamav (IP: 203.178.137.175)
6:ClamAV 使⽤
可以使⽤/opt/clamav/bin/clamscan -h查看相应的帮助信息
· 扫描所有⽤户的主⽬录就使⽤ clamscan -r /home
· 扫描您计算机上的所有⽂件并且显⽰所有的⽂件的扫描结果,就使⽤ clamscan -r /
·
扫描您计算机上的所有⽂件并且显⽰有问题的⽂件的扫描结果,就使⽤ clamscan -r --bell -i /
执⾏下⾯命令扫描根⽬录下⾯的所有⽂件。如下所⽰:56个⽂件被感染了。基本上都是Linux.Trojan.Agent和Linux.Backdoor.Gates等。/opt/clamav/bin/clamscan -r --bell -i
⼿⼯删除这些⽂件。然后重新扫描⼀下,发现⽊马已经被清理完成。但是按照⽹上资料进⼀步查发现⽊马启动程序
[root@LNX17 ~]# cd /etc/init.d/
[root@LNX17 init.d]# ls Db*
DbSecurityMdt  DbSecuritySpt
[root@LNX17 init.d]# ls sel*
selinux
[root@LNX17 init.d]# more selinux
#!/bin/bash
/usr/bin/bsd-port/getty
[root@LNX17 init.d]# more DbSecuritySpt
#!/bin/bash
/home/WDPM/Development/WebServer/apache-tomcat-7.0.61/cmys
[root@LNX17 init.d]# more DbSecurityMdt
#!/bin/bash
木材旋切机/root/cmy6
[root@LNX17 init.d]# more DbSecurityMdt
#!/bin/bash
/root/cmy6
[root@LNX17 bin]# ls bsd*
[root@LNX17 bin]# cd bsd-port/
[root@GETLNX17 bsd-port]# ls
[root@LNX17 bsd-port]# f
3341
[root@LNX17 bsd-port]# more getty.lock
1013
[root@LNX17 bsd-port]# cd ..
[root@LNX17 bin]# rm -rf bsd-port
此时在⽤nethogs监控进程的⽹络流量,发现已经没有异常进程了,应该算是彻底清除了。
关于Linux.Backdoor.Gates,看到⼀篇介绍资料了相关内容:, 具体内容如下所⽰:豆渣搅拌机
------------------------------------------------------------------------------------------------------------------------------
某些⽤户有⼀种根深蒂固的观念,就是⽬前没有能够真正威胁Linux内核操作系统的恶意软件,然⽽这种观念正在⾯临越来越多的挑战。与4⽉相⽐,2014年5⽉Doctor Web公司的技术⼈员侦测到的Linux恶意软件数量创下了新纪录,六⽉份这些恶意软件名单中⼜增加了⼀系列新的Linux⽊马,这⼀新⽊马家族被命名为Linux.BackDoor.Gates。
在这⾥描述的是恶意软件家族Linux.BackDoor.Gates中的⼀个⽊马:Linux.BackDoor.Gates.5,此恶意软件结合了传统后门程序和DDoS攻击⽊马的功能,⽤于感染32位Linux版本,根据其特征可以断定,是与Linux.DnsAmp和Linux.DDoS家族⽊马同出于⼀个病毒编写者之⼿。新⽊马由两个功能模块构成:基本模块是能够执⾏不法分⼦所发指令的后门程序,第⼆个模块在安装过程中保存到硬盘,⽤于进⾏DDoS攻击。Linux.BackDoor.Gates.5在运⾏过程中收集并向不法分⼦转发受感染电脑的以下信息:
CPU核数(从/proc/cpuinfo读取)。
CPU速度(从/proc/cpuinfo读取)。
CPU使⽤(从/proc/stat读取)。
Gate'a的 IP(从/proc/net/route读取)。
Gate'a的MAC地址(从/proc/net/arp读取)。
⽹络接⼝信息(从/proc/net/dev读取)。
⽹络设备的MAC地址。
内存(使⽤/proc/meminfo中的MemTotal参数)。

本文发布于:2024-09-22 03:37:53,感谢您对本站的认可!

本文链接:https://www.17tex.com/tex/2/206540.html

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。

上一篇:有机镁盐
下一篇:最全英语词根前缀后缀表格
标签:发现   服务器   程序   进程   情况
留言与评论(共有 0 条评论)
   
验证码:
推荐文章
排行榜
热门标签
Copyright ©2019-2024 Comsenz Inc.Powered by © 易纺专利技术学习网 豫ICP备2022007602号 豫公网安备41160202000603 站长QQ:729038198 关于我们 投诉建议