昨天晚上收到阿里云的短信和邮件,说服务器中毒,内容如下:
经检测您的云服务器(ip)存在恶意发包行为,为避免影响您服务器的正常使用,请您务必重视并尽快处理,需要您尽快排查您的安全隐患。目前系统不会处罚您的机器,但请您务必重视。
就怕被惩罚(近小黑屋),所以赶紧登录服务器,上去之后没发现什么异常,但是发现这台机器竟然一直是裸奔状态,赶紧安装防火墙,一切正常,直到今天下午又收到阿里云的短信和邮件,服务器根本就不能登录,cpu和带宽都被赞用了,很慢,等了一会还是不能进入,直接管理后台重启了机器,重启后赶紧登录,开启防火墙,只允许特定ip访问,切断其它一切访问。
安装杀毒软件 ClamAV
ClamAV是一个在命令行下查毒软件,因为它不将杀毒作为主要功能,默认只能查出您计算机内的病毒,但是无法清除,至多删除文件。ClamAV可以工作很多的平台上,但是有少数无法支持,这就要取决您所使用的平台的流行程度了。另外它主要是来防护一些WINDOWS病毒和木马程序。另外,这是一个面向服务端的软件。
下载ClamAV安装包
wget http://www.clamav.net/downloads/production/clamav-0.99.2.tar.gzwget http://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gztar xvzf zlib-1.2.7.tar.gz
cd zlib-1.2.7
./configure
make && make install添加用户组clamav和组成员clamav
[root@iZwz92o4464Z zlib-1.2.7]# groupadd clamav
[root@iZwz92o4464Z zlib-1.2.7]# useradd -g clamav -s /bin/false -c "Clam AntiVirus" clamav安装Clamav-0.99.2
[root@iZwz92o4464Z tmp]# tar xvzf clamav-0.99.2.tar.gz
[root@iZwz92o4464Z tmp]# cd clamav-0.99.2
[root@iZwz92o4464Z clamav-0.99.2]# ./configure --prefix=/opt/clamav --disable-clamav
[root@iZwz92o4464Z clamav-0.99.2]# make
[root@iZwz92o4464Z clamav-0.99.2]# make install配置Clamav
1:创建目录
[root@iZwz92o4464Z clamav-0.99.2]# mkdir /opt/clamav/logs
[root@iZwz92o4464Z clamav-0.99.2]# mkdir /opt/clamav/updata 2:创建文件
[root@iZwz92o4464Z clamav-0.99.2]# touch /opt/clamav/logs/freshclam.log
[root@iZwz92o4464Z clamav-0.99.2]# touch /opt/clamav/logs/clamd.log
[root@iZwz92o4464Z clamav-0.99.2]# cd /opt/clamav/logs
[root@iZwz92o4464Z clamav-0.99.2]# cd logs
[root@iZwz92o4464Z clamav-0.99.2]# ls
clamd.log freshclam.log
[root@LNX17 logs]# ls -lrt
total 0
-rw-r--r--. 1 root root 0 Aug 21 22:10 freshclam.log
-rw-r--r--. 1 root root 0 Aug 21 22:10 clamd.log3: 修改属主
[root@iZwz92o4464Z logs]# chown clamav:clamav clamd.log
[root@iZwz92o4464Z logs]# chown clamav:clamav freshclam.log
[root@iZwz92o4464Z logs]# ls -lrt
total 0
-rw-r--r--. 1 clamav clamav 0 Aug 21 22:10 freshclam.log
-rw-r--r--. 1 clamav clamav 0 Aug 21 22:10 clamd.log
[root@iZwz92o4464Z logs]# 4:修改配置文件
root@AY14061209501523080aZ: vim /opt/clamav/etc/clamd.conf
# Example 注释掉这一行. 第8 行
LogFile /logs/clamd.log 删掉前面的注释目录改为/opt/clamav/logs/clamd.log
PidFile /opt/clamav/updata/clamd.pid 删掉前面的注释路径改为/opt/clamav/updata/clamd.pid
DatabaseDirectory /opt/clamav/updata 同上root@AY14061209501523080aZ:/opt/clamav# vim
/opt/clamav/etc/freshclam.conf
将Example 这一行注释掉。否则在更新反病毒数据库是就有可能出现下面错误
ERROR: Please edit the example config file /opt/clamav/etc/freshclam.conf
ERROR: Can't open/parse the config file /opt/clamav/etc/freshclam.conf5:升级病毒库
[root@AY14061209501523080aZ etc]# /opt/clamav/bin/freshclam
ERROR: Can't change dir to /opt/clamav/share/clamav出现上面错误,直接创建一个文件夹并授权给clamav用户即可。
[root@AY14061209501523080aZ etc]# mkdir -p /opt/clamav/share/clamav
[root@AY14061209501523080aZ etc]# /opt/clamav/etc# chown clamav:clamav /opt/clamav/share/clamav继续更新(很慢)
[root@AY14061209501523080aZ:/opt/clamav/etc]# /opt/clamav/bin/freshclam
ClamAV update process started at Thu Mar 9 18:33:03 2017
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.97.6 Recommended version: 0.99.2
DON'T PANIC! Read http://www.clamav.net/support/faq
Downloading main.cvd [100%]
main.cvd updated (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
Downloading daily.cvd [ 4%]由于ClamAV不是最新版本,所以有告警信息。可以忽略或升级最新版本。病毒库需要定期升级,例如我第二天升级病毒库
6:ClamAV 使用
可以使用/opt/clamav/bin/clamscan -h查看相应的帮助信息
· 扫描所有用户的主目录就使用 clamscan -r /home
· 扫描您计算机上的所有文件并且显示所有的文件的扫描结果,就使用 clamscan -r /
· 扫描您计算机上的所有文件并且显示有问题的文件的扫描结果,就使用 clamscan -r –bell -i /
执行下面命令扫描根目录下面的所有文件。如下所示:56个文件被感染了。基本上都是Linux.Trojan.Agent和Linux.Backdoor.Gates等。
/opt/clamav/bin/clamscan -r –bell -i
root@AY14061209501523080aZ:/opt/clamav/etc# /opt/clamav/bin/clamscan -r /bin --bell -i /
/bin/DDosClient: Unix.Trojan.Flooder-27 FOUND
/bin/ss: Unix.Trojan.Agent-37008 FOUND手动删除病毒:
[root@AY14061209501523080aZ:/bin]# ls DDos*
[root@AY14061209501523080aZ:/bin]# ls DDos*
[root@AY14061209501523080aZ:/bin]# rm DDosClient