阿里雲機器中毒

weixin_33807284發表於2017-03-09

昨天晚上收到阿里雲的簡訊和郵件,說伺服器中毒,內容如下:

經檢測您的雲伺服器(ip)存在惡意發包行為,為避免影響您伺服器的正常使用,請您務必重視並儘快處理,需要您儘快排查您的安全隱患。目前系統不會處罰您的機器,但請您務必重視。

就怕被懲罰(近小黑屋),所以趕緊登入伺服器,上去之後沒發現什麼異常,但是發現這臺機器竟然一直是裸奔狀態,趕緊安裝防火牆,一切正常,直到今天下午又收到阿里雲的簡訊和郵件,伺服器根本就不能登入,cpu和頻寬都被贊用了,很慢,等了一會還是不能進入,直接管理後臺重啟了機器,重啟後趕緊登入,開啟防火牆,只允許特定ip訪問,切斷其它一切訪問。

安裝防毒軟體 ClamAV

ClamAV是一個在命令列下查毒軟體,因為它不將防毒作為主要功能,預設只能查出您計算機內的病毒,但是無法清除,至多刪除檔案。ClamAV可以工作很多的平臺上,但是有少數無法支援,這就要取決您所使用的平臺的流行程度了。另外它主要是來防護一些WINDOWS病毒和木馬程式。另外,這是一個面向服務端的軟體。

下載ClamAV安裝包

官網:http://www.clamav.net/downloa...

wget http://www.clamav.net/downloads/production/clamav-0.99.2.tar.gz
wget http://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gz
tar xvzf zlib-1.2.7.tar.gz
cd zlib-1.2.7
./configure 
make && make install

新增使用者組clamav和組成員clamav

[root@iZwz92o4464Z zlib-1.2.7]# groupadd clamav
[root@iZwz92o4464Z zlib-1.2.7]# useradd -g clamav -s /bin/false -c "Clam AntiVirus" clamav

安裝Clamav-0.99.2

[root@iZwz92o4464Z tmp]# tar xvzf clamav-0.99.2.tar.gz
[root@iZwz92o4464Z tmp]# cd clamav-0.99.2
[root@iZwz92o4464Z clamav-0.99.2]# ./configure --prefix=/opt/clamav  --disable-clamav
[root@iZwz92o4464Z clamav-0.99.2]# make
[root@iZwz92o4464Z clamav-0.99.2]# make install

配置Clamav

1:建立目錄

[root@iZwz92o4464Z clamav-0.99.2]# mkdir /opt/clamav/logs 
[root@iZwz92o4464Z clamav-0.99.2]# mkdir /opt/clamav/updata 

2:建立檔案

[root@iZwz92o4464Z clamav-0.99.2]# touch /opt/clamav/logs/freshclam.log
[root@iZwz92o4464Z clamav-0.99.2]# touch /opt/clamav/logs/clamd.log

 
[root@iZwz92o4464Z clamav-0.99.2]# cd /opt/clamav/logs
[root@iZwz92o4464Z clamav-0.99.2]# cd logs
[root@iZwz92o4464Z clamav-0.99.2]# ls
clamd.log  freshclam.log
[root@LNX17 logs]# ls -lrt
total 0
-rw-r--r--. 1 root root 0 Aug 21 22:10 freshclam.log
-rw-r--r--. 1 root root 0 Aug 21 22:10 clamd.log

3: 修改屬主

[root@iZwz92o4464Z logs]# chown clamav:clamav clamd.log 
[root@iZwz92o4464Z logs]# chown clamav:clamav freshclam.log 
[root@iZwz92o4464Z logs]# ls -lrt
total 0
-rw-r--r--. 1 clamav clamav 0 Aug 21 22:10 freshclam.log
-rw-r--r--. 1 clamav clamav 0 Aug 21 22:10 clamd.log
[root@iZwz92o4464Z logs]# 

4:修改配置檔案

root@AY14061209501523080aZ: vim /opt/clamav/etc/clamd.conf

# Example 註釋掉這一行. 第8 行  

LogFile /logs/clamd.log   刪掉前面的註釋目錄改為/opt/clamav/logs/clamd.log  
PidFile /opt/clamav/updata/clamd.pid 刪掉前面的註釋路徑改為/opt/clamav/updata/clamd.pid
DatabaseDirectory /opt/clamav/updata 同上

root@AY14061209501523080aZ:/opt/clamav# vim
/opt/clamav/etc/freshclam.conf

將Example 這一行註釋掉。否則在更新反病毒資料庫是就有可能出現下面錯誤

ERROR: Please edit the example config file /opt/clamav/etc/freshclam.conf
ERROR: Can't open/parse the config file /opt/clamav/etc/freshclam.conf

5:升級病毒庫

[root@AY14061209501523080aZ etc]# /opt/clamav/bin/freshclam
 ERROR: Can't change dir to /opt/clamav/share/clamav

出現上面錯誤,直接建立一個資料夾並授權給clamav使用者即可。

[root@AY14061209501523080aZ etc]# mkdir -p /opt/clamav/share/clamav
[root@AY14061209501523080aZ etc]# /opt/clamav/etc# chown clamav:clamav /opt/clamav/share/clamav

繼續更新(很慢)

[root@AY14061209501523080aZ:/opt/clamav/etc]# /opt/clamav/bin/freshclam
ClamAV update process started at Thu Mar  9 18:33:03 2017
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.97.6 Recommended version: 0.99.2
DON'T PANIC! Read http://www.clamav.net/support/faq
Downloading main.cvd [100%]

main.cvd updated (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
Downloading daily.cvd [  4%]

由於ClamAV不是最新版本,所以有告警資訊。可以忽略或升級最新版本。病毒庫需要定期升級,例如我第二天升級病毒庫

6:ClamAV 使用

可以使用/opt/clamav/bin/clamscan -h檢視相應的幫助資訊

· 掃描所有使用者的主目錄就使用 clamscan -r /home

· 掃描您計算機上的所有檔案並且顯示所有的檔案的掃描結果,就使用 clamscan -r /

· 掃描您計算機上的所有檔案並且顯示有問題的檔案的掃描結果,就使用 clamscan -r --bell -i /

執行下面命令掃描根目錄下面的所有檔案。如下所示:56個檔案被感染了。基本上都是Linux.Trojan.Agent和Linux.Backdoor.Gates等。

/opt/clamav/bin/clamscan -r --bell -i

root@AY14061209501523080aZ:/opt/clamav/etc# /opt/clamav/bin/clamscan -r /bin --bell -i /
/bin/DDosClient: Unix.Trojan.Flooder-27 FOUND
/bin/ss: Unix.Trojan.Agent-37008 FOUND

手動刪除病毒:

[root@AY14061209501523080aZ:/bin]#  ls DDos*
[root@AY14061209501523080aZ:/bin]#  ls DDos*
[root@AY14061209501523080aZ:/bin]#  rm DDosClient

相關文章