昨天晚上收到阿里雲的簡訊和郵件,說伺服器中毒,內容如下:
經檢測您的雲伺服器(ip)存在惡意發包行為,為避免影響您伺服器的正常使用,請您務必重視並儘快處理,需要您儘快排查您的安全隱患。目前系統不會處罰您的機器,但請您務必重視。
就怕被懲罰(近小黑屋),所以趕緊登入伺服器,上去之後沒發現什麼異常,但是發現這臺機器竟然一直是裸奔狀態,趕緊安裝防火牆,一切正常,直到今天下午又收到阿里雲的簡訊和郵件,伺服器根本就不能登入,cpu和頻寬都被贊用了,很慢,等了一會還是不能進入,直接管理後臺重啟了機器,重啟後趕緊登入,開啟防火牆,只允許特定ip訪問,切斷其它一切訪問。
安裝防毒軟體 ClamAV
ClamAV是一個在命令列下查毒軟體,因為它不將防毒作為主要功能,預設只能查出您計算機內的病毒,但是無法清除,至多刪除檔案。ClamAV可以工作很多的平臺上,但是有少數無法支援,這就要取決您所使用的平臺的流行程度了。另外它主要是來防護一些WINDOWS病毒和木馬程式。另外,這是一個面向服務端的軟體。
下載ClamAV安裝包
wget http://www.clamav.net/downloads/production/clamav-0.99.2.tar.gzwget http://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gztar xvzf zlib-1.2.7.tar.gz
cd zlib-1.2.7
./configure
make && make install新增使用者組clamav和組成員clamav
[root@iZwz92o4464Z zlib-1.2.7]# groupadd clamav
[root@iZwz92o4464Z zlib-1.2.7]# useradd -g clamav -s /bin/false -c "Clam AntiVirus" clamav安裝Clamav-0.99.2
[root@iZwz92o4464Z tmp]# tar xvzf clamav-0.99.2.tar.gz
[root@iZwz92o4464Z tmp]# cd clamav-0.99.2
[root@iZwz92o4464Z clamav-0.99.2]# ./configure --prefix=/opt/clamav --disable-clamav
[root@iZwz92o4464Z clamav-0.99.2]# make
[root@iZwz92o4464Z clamav-0.99.2]# make install配置Clamav
1:建立目錄
[root@iZwz92o4464Z clamav-0.99.2]# mkdir /opt/clamav/logs
[root@iZwz92o4464Z clamav-0.99.2]# mkdir /opt/clamav/updata 2:建立檔案
[root@iZwz92o4464Z clamav-0.99.2]# touch /opt/clamav/logs/freshclam.log
[root@iZwz92o4464Z clamav-0.99.2]# touch /opt/clamav/logs/clamd.log
[root@iZwz92o4464Z clamav-0.99.2]# cd /opt/clamav/logs
[root@iZwz92o4464Z clamav-0.99.2]# cd logs
[root@iZwz92o4464Z clamav-0.99.2]# ls
clamd.log freshclam.log
[root@LNX17 logs]# ls -lrt
total 0
-rw-r--r--. 1 root root 0 Aug 21 22:10 freshclam.log
-rw-r--r--. 1 root root 0 Aug 21 22:10 clamd.log3: 修改屬主
[root@iZwz92o4464Z logs]# chown clamav:clamav clamd.log
[root@iZwz92o4464Z logs]# chown clamav:clamav freshclam.log
[root@iZwz92o4464Z logs]# ls -lrt
total 0
-rw-r--r--. 1 clamav clamav 0 Aug 21 22:10 freshclam.log
-rw-r--r--. 1 clamav clamav 0 Aug 21 22:10 clamd.log
[root@iZwz92o4464Z logs]# 4:修改配置檔案
root@AY14061209501523080aZ: vim /opt/clamav/etc/clamd.conf
# Example 註釋掉這一行. 第8 行
LogFile /logs/clamd.log 刪掉前面的註釋目錄改為/opt/clamav/logs/clamd.log
PidFile /opt/clamav/updata/clamd.pid 刪掉前面的註釋路徑改為/opt/clamav/updata/clamd.pid
DatabaseDirectory /opt/clamav/updata 同上root@AY14061209501523080aZ:/opt/clamav# vim
/opt/clamav/etc/freshclam.conf
將Example 這一行註釋掉。否則在更新反病毒資料庫是就有可能出現下面錯誤
ERROR: Please edit the example config file /opt/clamav/etc/freshclam.conf
ERROR: Can't open/parse the config file /opt/clamav/etc/freshclam.conf5:升級病毒庫
[root@AY14061209501523080aZ etc]# /opt/clamav/bin/freshclam
ERROR: Can't change dir to /opt/clamav/share/clamav出現上面錯誤,直接建立一個資料夾並授權給clamav使用者即可。
[root@AY14061209501523080aZ etc]# mkdir -p /opt/clamav/share/clamav
[root@AY14061209501523080aZ etc]# /opt/clamav/etc# chown clamav:clamav /opt/clamav/share/clamav繼續更新(很慢)
[root@AY14061209501523080aZ:/opt/clamav/etc]# /opt/clamav/bin/freshclam
ClamAV update process started at Thu Mar 9 18:33:03 2017
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.97.6 Recommended version: 0.99.2
DON'T PANIC! Read http://www.clamav.net/support/faq
Downloading main.cvd [100%]
main.cvd updated (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
Downloading daily.cvd [ 4%]由於ClamAV不是最新版本,所以有告警資訊。可以忽略或升級最新版本。病毒庫需要定期升級,例如我第二天升級病毒庫
6:ClamAV 使用
可以使用/opt/clamav/bin/clamscan -h檢視相應的幫助資訊
· 掃描所有使用者的主目錄就使用 clamscan -r /home
· 掃描您計算機上的所有檔案並且顯示所有的檔案的掃描結果,就使用 clamscan -r /
· 掃描您計算機上的所有檔案並且顯示有問題的檔案的掃描結果,就使用 clamscan -r --bell -i /
執行下面命令掃描根目錄下面的所有檔案。如下所示:56個檔案被感染了。基本上都是Linux.Trojan.Agent和Linux.Backdoor.Gates等。
/opt/clamav/bin/clamscan -r --bell -i
root@AY14061209501523080aZ:/opt/clamav/etc# /opt/clamav/bin/clamscan -r /bin --bell -i /
/bin/DDosClient: Unix.Trojan.Flooder-27 FOUND
/bin/ss: Unix.Trojan.Agent-37008 FOUND手動刪除病毒:
[root@AY14061209501523080aZ:/bin]# ls DDos*
[root@AY14061209501523080aZ:/bin]# ls DDos*
[root@AY14061209501523080aZ:/bin]# rm DDosClient