Linux Unix.Trojan.Elknot (Linux.BackDoor.Gates.5)木马清理

此恶意软件结合了传统后门程序和DDoS攻击木马的功能

前两天性能测试服务器被种马,cpu一直占用率90%以上,机器运行非常卡,同时也出现疯狂向外发包的现象,怀疑已被用做了ddos攻击的肉鸡。

出现以下几种异常现象:

1、用TOP可以查看到相关进程名:/usr/bin/bsd-port/agent  且用 ps -ef 无法查看到该进程号,当然也无法中止该进程。怀疑 ps 等部分文件也被感染于是从其它机器上分别传过来进行替换。

2、在/etc/init.d/目录下发现 seliunux 、iscsi、scsi、YbSecurityHdt 被感染的服务程序,同时为了使该木马程序开机自动启动,在/etc/rc.d/rc*.d/下面建立了几个软链接文件分别指向 seliunux 、iscsi、scsi、YbSecurityHdt 这几个文件。

3、在/etc/ssh/下发现  bashpa、sshpa 异常文件,应该是ssh后门相关的。分别chattr -i 后再删除之

删除相关不应有的软链接和服务脚本文件后,立即重启系统后正常。

参考资料:http://blog.csdn.net/liukeforever/article/details/38560363

-------------------------------------------------------------------------------------------------

一、概述  

Linux比其它操作系统更稳定更安全。理论上Linux是有可能被病毒侵害的。但实际上 Linux机器几乎不可能遭受病毒的攻击。所以我这里的问题是为什么要为Linux准备防病毒软件,为了更好理解,我准备了以下理由,Linux平台安装杀毒软件的原因:1、从Linux平台扫描Windows驱动。2、通过网络扫描Windows工作站。3、在Linux服务器中扫描接收和发送的邮件。4、扫描发送给其它机器的重要文件。
     下面向你推荐最好的免费的Linux平台杀毒软件:1、ClamAV 杀毒。2、Avast Linux 家庭版。3、Avast Linux 家庭版。4、AVG 免费版杀毒。5、F-PROT 杀毒。

我们主要来介绍ClamAV 杀毒:ClamAV 杀毒是Linux平台最受欢迎的杀毒软件,ClamAV属于免费开源产品,支持多种平台,如:Linux/Unix、MAC OS X、Windows、OpenVMS。ClamAV是基于病毒扫描的命令行工具,但同时也有支持图形界面的ClamTK工具。ClamAV主要用于邮件服务器扫描邮件。它有多种接口从邮件服务器扫描邮件,支持文件格式有如:ZIP、RAR、TAR、GZIP、BZIP2、HTML、DOC、PDF,、SIS CHM、RTF等等。ClamAV有自动的数据库更新器,还可以从共享库中运行。

编译ClamAV时应包括zlib库,用于压缩和解压缩函数。(下述为以clamav-0.97.6.tar.gz为例的编译安装和使用)

使用yum install clamav clamd clamav-update  -y   进行一键安装

#sed -i  '/^TCPAddr/{ s/127.0.0.1/0.0.0.0/g }'  /etc/clamd.d/scan.conf

#sed -i 's/^Example/#Example/' /etc/clamd.d/scan.conf ; sed -i 's/^Example/#Example/' /etc/freshclam.conf

二、系统环境

系统环境:centos 6.2

软件:

1、zlib-1.2.7.tar.gz

下载:wget http://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gz

2、clamav-0.97.6.tar.gz

下载:wget http://nchc.dl.sourceforge.net/project/clamav/clamav/0.97.6/clamav-0.97.6.tar.gz

三、安装

   1、zlib-1.2.7.tar.gz安装

    tar xvzf zlib-1.2.7.tar.gz
#cd zlib-1.2.7
#./configure
#make && make install

2、添加用户组clamav和组成员clamav(注:在安装clamav-0.97.6.tar.gz前必须先添加用户)

# groupadd clamav
# useradd -g clamav -s /bin/false -c "Clam AntiVirus" clamav

3、clamav-0.97.6.tar.gz

#tar xvzf clamav-0.97.6.tar.gz
#cd clamav-0.97.6
# ./configure --prefix=/opt/clamav  --disable-clamav
# make
#make install

四、配置

  1、创建目录

mkdir /opt/clamav/logs       (日志存放目录)
mkdir /opt/clamav/updata (clanav 病毒库目录)

  2、创建文件

在/var/log目录下添加两个logs文件:clamd.log和freshclam.log,将所有者改为新加的clamav用户,并设置相应的文件读写权限

#touch /opt/clamav/logs/freshclam.log
#touch /opt/clamav/logs/clamd.log

3、配置/etc/clam.conf文件

#cd /opt/clamav
#vi etc/clamd.conf

  # Example 注释掉这一行. 第8 行  

TCPAddr 127.0.0.1                                     改成 0.0.0.0
        LogFile /opt/clamav/logs/clamd.log              删掉前面的注释目录改为logs下面 第14行
    PidFile /opt/clamav/updata/clamd.pid           删掉前面的注释路径改一下 第57行
    DatabaseDirectory /opt/clamav/updata 同上 第65行

4、配置freshclam.conf文件

#vi etc/freshclam.conf

  #Example 注释掉这一行
  DatabaseDirectory /opt/clamav/updata
  UpdateLogFile /opt/clamav/logs/freshclam.log
  PidFile /opt/clamav/updata/freshclam.pid

5、文件授权

#chown clamav:clamav /opt/clamav/logs/freshclam.log
#chown clamav:clamav /opt/clamav/logs/clamd.log
#chown clamav:clamav /opt/clamav/updata

五、执行

  1、升级

#/opt/clamav/bin/freshclam        (升级病毒库) 

2、杀毒

#ln -s /opt/clamav/bin/*  /usr/local/sbin/
#clamscan --查杀当前目录下的文件
#clamscan -r --查杀当前目录的所有文件及目录
#clamscan dir --查杀dir目录
#clamscan -r dir --查杀目录dir下的所有文件及目录
#/opt/clamav/bin/clamscan --remove --扫描到感染文件后直接删除
#/opt/clamav/bin/clamscan -l /*.log --保存扫描日志

3、帮助

#/opt/clamav/bin/clamscan --help  

六、自动更新

freshclam的自动更新
后台运行freshclam:
# freshclam -d
还可以使用cron后台自动定时运行freshclam:将下述行加到crontab中:
N * * * * /opt/bin/freshclam --quiet
(其中,N是-3-57之间的数据,表示每隔N个小时检查更新病毒数据库)

一般使用计划任务,让服务器每天晚上定时跟新和定时杀毒。保存杀毒日志,我的crontab文件如下

1  3  * * *          /usr/local/clamav/bin/freshclam --quiet
20 3  * * *          /usr/local/clamav/bin/clamscan  -r /home  --remove -l /var/log/clamscan.log

参考资料:http://www.jb51.net/LINUXjishu/224647.html

               http://wiki.ubuntu.org.cn/ClamAV

clamav杀毒软件的安装的更多相关文章

  1. linux clamav杀毒软件的安装

    一.概述 Linux比其它操作系统更稳定更安全.理论上Linux是有可能被病毒侵害的.但实际上 Linux机器几乎不可能遭受病毒的攻击.所以我这里的问题是为什么要为Linux准备防病毒软件,为了更好理 ...

  2. linux下对clamav杀毒软件的安装和配置

    下载安装 首先安装zlib库: # yum install zlib zlib-devel //安装可忽略 下载安装clamav源码包 clamav管网:http://www.clamav.net/d ...

  3. centos clamav杀毒软件安装配置及查杀,没想到linux下病毒比windows还多!

    centos clamav杀毒软件安装配置及查杀,没想到linux下病毒比windows还多! 一.手动安装 1.下载(官网)    cd /soft     wget http://www.clam ...

  4. clamav 杀毒软件安装及使用配置

    安装clamav 之前还需要安装zlib 要不然安装过程中会报错的. tar -zxvf  zlib-1.2.3.tar.gz cd zlib-1.2.3 ./configure make make ...

  5. 利用saltstack批量安装clamav杀毒软件

    源码包安装: clamav_source: file.managed: - name: /tmp/clamav-0.99.2.tar.gz - unless: test -f /tmp/clamav- ...

  6. Linux下Clamav 杀毒软件安装使用文档

    一.安装Clamav杀毒工具 0.安装Clamav需要的依赖包 yum install libxml* openssl* -y 1.创建clamav组 groupadd clamav 2.创建clam ...

  7. linux学习笔记-安装配置使用clamav杀毒软件

    我的邮箱地址:zytrenren@163.com欢迎大家交流学习纠错! 1.安装clamav 2.更新病毒库 # freshclam 如果更新不了,或者更新特别慢,可以手动下载病毒库文件,放到/var ...

  8. liunx之Centos6.8杀毒软件的安装

    作者:邓聪聪 为了防止服务器中病毒,安装了类似与Windowns的杀毒软件Clanav,过程如下 首先下载clamav的软件包,官方下载地址为http://www.clamav.net/downloa ...

  9. linux安装杀软 clamAV

    ClamAV 是Linux平台最受欢迎的杀毒软件,ClamAV 属于免费的开源软件,支持多种平台.ClamAV是基于病毒扫描的命令行工具,但同时也有支持图形界面的ClamTK工具.ClamAV 主要用 ...

随机推荐

  1. IE浏览器从页面向后台Controller传中文值出现乱码问题

    地址前面添加encodeURI() 1. var url = encodeURI('xxxAction.action?para='+中文); $('#cc').combobox({ url : url ...

  2. opencv中的缩放函数

    图像处理里面缩放操作是比较常见的: 最近邻插值:类似简单映射的处理方式,目标图像w1,h1,原始图像w0,h0,则在目标图像上的点(x,y)的像素点实际对应原始图上(x*w0/w1,y*h0/h1)的 ...

  3. 【python】实例-读取已有文件的内容

    import os Filename=raw_input("please input filename that you will open: ") if os.path.exis ...

  4. (文章转载)织梦CMS判断不同的栏目显示不同的图片

    {dede:php} $thisid = $refObj->Fields['id']; $row = $dsql->GetOne("Select typeid From `ybs ...

  5. winform截屏

    引自 http://www.cnblogs.com/aland-liu/archive/2011/07/20/Winform.html 已经注册博客好久,一直由于工作原因没有打理.今天在网上看了一个截 ...

  6. ghost系统下,C#获取时间带星期几的解决办法

    cmd   regedit打开注册表,进入到[HKEY_USERS\.DEFAULT\Control Panel\International]  ,然后1.将键 sDate 的值由 / 改为 - 2. ...

  7. java-appium-527进阶-1 UiAutomator1&2区别和封装

    1.UiAutomator和UiAtumator2的区别: 1.1 UiAutomator1有关于id定位的策略 UiAutomator1 id定位在resourceid匹配失败时,会匹配conten ...

  8. java接口定义和作用

    接口语法 1.接口是一种引用类型,可以等同看作类.修饰符 interface 接口名 2.接口中只能出现常量和抽象方法 3.接口其实是一个特殊的抽象类,特殊在接口是完全抽象的 4.接口中没有构造方法, ...

  9. ExtJS的数据模型

    给大家介绍一下ExtJS的组件模型. 常见的Ajax的开发流程: 1.定义URL,metod,params 2.开发后台  接收JSON/XML数据 返回JSON/XML数据 3.前台回调 4.显示到 ...

  10. linux read 系统调用剖析

    https://www.ibm.com/developerworks/cn/linux/l-cn-read/ MT注:原文图1与Understanding the Linux Kernel, 3rd ...