在centos7上安裝ClamAV防毒,並防毒(centos隨機英文10字母)成功
阿新 • • 發佈:2019-06-18
在centos7上安裝ClamAV防毒,並防毒(centos隨機英文10字母)成功
- 本文作者:@Ryan Miao
- 本文連結:https://www.cnblogs.com/woshimrf/p/6130093.html?utm_source=itdadao&utm_medium=referral
- 版權宣告: 本部落格所有文章除特別宣告外,均採用 CC BY-NC-SA 3.0 許可協議。轉載請註明出處!
目錄
前言
安裝clamav
掃描
問題
解決
刪除病毒
參考
前言
上傳檔案的時候發現總是失敗,檢視top發現有個程序一直cpu佔用80%以上,而且名稱還是隨機數。kill之後,一會兒又重新生成了。突然發現居然沒有在服務端防毒的經歷。在此處補齊。
安裝clamav
http://www.linuxdiyf.com/linux/18635.html
http://www.linuxidc.com/Linux/2013-09/90021.htm
http://www.linuxidc.com/Linux/2013-08/88981.htm
掃描
clamscan -r /usr/bin -l /home/clamav.log --remove
- -r表示資料夾遞迴
- /usr/bin是病毒掃描目錄
- -l 是小寫的L,後面是日誌檔案
- --remove是刪除掉病毒,但如果害怕誤刪除應該--move.不過我就直接刪除了。
結果:
----------- SCAN SUMMARY ----------- Known viruses: 5180110 Engine version: 0.99.2 Scanned directories: 29655 Scanned files: 167613 Infected files: 9 Total errors: 22919 Data scanned: 8238.96 MB Data read: 11093.36 MB (ratio 0.74:1) Time: 1264.429 sec (21 m 4 s)
然後檢視日誌:
[root@121 bin]# more /home/clamav.log | grep Removed
/usr/bin/cnndpyizhj: Removed.
/usr/bin/nrklkyfekn: Removed.
/usr/bin/gdyyzgtmlj: Removed.
/usr/bin/ledzqwnycy: Removed.
/usr/bin/idtzyjxhxe: Removed.
/usr/bin/ikeabglldp: Removed.
/usr/bin/qbfqilhtiw: Removed.
/usr/bin/chwrmovzsx: Removed.
/usr/lib/libudev.so: Removed.
看到幾個病毒檔案給刪除。然後病毒原體libudev.so也刪除。還以為皆大歡喜,可以睡覺了。誰知道過了沒多久,又看到病毒肆虐了。第一次這麼仇恨病毒。於是百度 libudev.so找到很多隨機10字母病毒的文章。按照順序刪除檔案,效果還不錯。
問題
上傳檔案到伺服器,發現總是卡著。以為是網路問題,結果表明是系統繁忙。罪魁禍首是一個隨機英文10字母的病毒。會在/etc/init.d
下生成啟動檔案,會在/usr/bin/xxxx
下生成xxxx
檔案。kill後會重新生成新的程序和檔案。所以,必須找到病毒原體。
解決
首先,檢視定時任務。
crontab -l
沒有任何任務。
[root@121 init.d]# cat /etc/crontab
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
# For details see man 4 crontabs
# Example of job definition:
# .---------------- minute (0 - 59)
# | .------------- hour (0 - 23)
# | | .---------- day of month (1 - 31)
# | | | .------- month (1 - 12) OR jan,feb,mar,apr ...
# | | | | .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# | | | | |
# * * * * * user-name command to be executed
*/3 * * * * root /etc/cron.hourly/gcc.sh
發現一個gcc指令碼,不是我們建立的,顯然是病毒。檢視發現原來在執行一個叫做libudev.so的指令碼。
刪除病毒
我手動刪除了crontab裡的任務,但發現很快又被建立了。所以必須停止掉程序。參考的幾篇文章在最後,採用瞭如下做法:
- kill -stop {pid} #檢視top的pid,停止它而不是-9
- chmod 000 /usr/bin/xxxxxxx && chattr +i /usr/bin 最後一個鎖定目錄,不允許新增。不允許新增很重要
- cd /etc/init.d 然後刪除不認識的啟動專案
- 刪除gcc.sh
- 刪除crontab任務
- 刪除 /lib/libude.so /lib/libudev.so.6
- 刪除產生的檔案
- 最後再刪除一遍crontab裡重新生成的任務
[root@121 bin]# ls -lt | head
total 205196
-rwxr-xr-x. 1 root root 0 Dec 3 17:57 mtexjsonvz
-rwxr-xr-x. 1 root root 4096 Dec 3 17:30 jqgcppiqrt
-rwxr-xr-x. 1 root root 0 Dec 3 17:18 nchnwflgyw
-rwxr-xr-x. 1 root root 0 Dec 3 17:11 orymfmjitf
-rwxr-xr-x. 1 root root 4096 Dec 3 17:07 sbzqxjzvyk
-rwxr-xr-x. 1 root root 4096 Dec 3 17:04 mmmyfojril
-rwxr-xr-x. 1 root root 4096 Dec 3 16:48 dfkcgwfuff
-rwxr-xr-x. 1 root root 0 Dec 3 16:43 psuiwjkapn
-rwxr-xr-x. 1 root root 36864 Dec 3 16:43 lnovkdrabl
[root@121 bin]# rm -rf mtexjsonvz jqgcppiqrt nchnwflgyw orymfmjitf sbzqxjzvyk mmmyfojril dfkcgwfuff psuiwjkapn lnovkdrabl
過一會,看看會不會產生資訊的程序。如果沒事了就解鎖/usr/bin:
chattr -i /usr/bin
到目前為止,還沒看到新的病毒產