阿里雲機器中毒

昨天晚上收到阿里雲的短信和郵件，說服務器中毒，內容以下：

經檢測您的雲服務器（ip）存在惡意發包行爲，爲避免影響您服務器的正常使用，請您務必重視並儘快處理，須要您儘快排查您的安全隱患。目前系統不會處罰您的機器，但請您務必重視。

就怕被懲罰（近小黑屋），因此趕忙登陸服務器，上去以後沒發現什麼異常，可是發現這臺機器居然一直是裸奔狀態，趕忙安裝防火牆，一切正常，直到今天下午又收到阿里雲的短信和郵件，服務器根本就不能登陸，cpu和帶寬都被贊用了，很慢，等了一會仍是不能進入，直接管理後臺重啓了機器，重啓後趕忙登陸，開啓防火牆，只容許特定ip訪問，切斷其它一切訪問。

安裝殺毒軟件 ClamAV

ClamAV是一個在命令行下查毒軟件，由於它不將殺毒做爲主要功能，默認只能查出您計算機內的病毒，可是沒法清除，至多刪除文件。ClamAV能夠工做不少的平臺上，可是有少數沒法支持，這就要取決您所使用的平臺的流行程度了。另外它主要是來防禦一些WINDOWS病毒和木馬程序。另外，這是一個面向服務端的軟件。

下載ClamAV安裝包

官網：http://www.clamav.net/downloa...

wget http://www.clamav.net/downloads/production/clamav-0.99.2.tar.gz

wget http://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gz

tar xvzf zlib-1.2.7.tar.gz
cd zlib-1.2.7
./configure 
make && make install

添加用戶組clamav和組成員clamav

[root@iZwz92o4464Z zlib-1.2.7]# groupadd clamav
[root@iZwz92o4464Z zlib-1.2.7]# useradd -g clamav -s /bin/false -c "Clam AntiVirus" clamav

安裝Clamav-0.99.2

[root@iZwz92o4464Z tmp]# tar xvzf clamav-0.99.2.tar.gz
[root@iZwz92o4464Z tmp]# cd clamav-0.99.2
[root@iZwz92o4464Z clamav-0.99.2]# ./configure --prefix=/opt/clamav  --disable-clamav
[root@iZwz92o4464Z clamav-0.99.2]# make
[root@iZwz92o4464Z clamav-0.99.2]# make install

配置Clamav

1：建立目錄

[root@iZwz92o4464Z clamav-0.99.2]# mkdir /opt/clamav/logs 
[root@iZwz92o4464Z clamav-0.99.2]# mkdir /opt/clamav/updata

2：建立文件

[root@iZwz92o4464Z clamav-0.99.2]# touch /opt/clamav/logs/freshclam.log
[root@iZwz92o4464Z clamav-0.99.2]# touch /opt/clamav/logs/clamd.log

 
[root@iZwz92o4464Z clamav-0.99.2]# cd /opt/clamav/logs
[root@iZwz92o4464Z clamav-0.99.2]# cd logs
[root@iZwz92o4464Z clamav-0.99.2]# ls
clamd.log  freshclam.log
[root@LNX17 logs]# ls -lrt
total 0
-rw-r--r--. 1 root root 0 Aug 21 22:10 freshclam.log
-rw-r--r--. 1 root root 0 Aug 21 22:10 clamd.log

3: 修改屬主

[root@iZwz92o4464Z logs]# chown clamav:clamav clamd.log 
[root@iZwz92o4464Z logs]# chown clamav:clamav freshclam.log 
[root@iZwz92o4464Z logs]# ls -lrt
total 0
-rw-r--r--. 1 clamav clamav 0 Aug 21 22:10 freshclam.log
-rw-r--r--. 1 clamav clamav 0 Aug 21 22:10 clamd.log
[root@iZwz92o4464Z logs]#

4：修改配置文件

root@AY14061209501523080aZ: vim /opt/clamav/etc/clamd.conf

# Example 註釋掉這一行. 第8 行　　

LogFile /logs/clamd.log   刪掉前面的註釋目錄改成/opt/clamav/logs/clamd.log  
PidFile /opt/clamav/updata/clamd.pid 刪掉前面的註釋路徑改成/opt/clamav/updata/clamd.pid
DatabaseDirectory /opt/clamav/updata 同上

root@AY14061209501523080aZ:/opt/clamav# vim
/opt/clamav/etc/freshclam.conf

將Example 這一行註釋掉。不然在更新反病毒數據庫是就有可能出現下面錯誤

ERROR: Please edit the example config file /opt/clamav/etc/freshclam.conf
ERROR: Can't open/parse the config file /opt/clamav/etc/freshclam.conf

5：升級病毒庫

[root@AY14061209501523080aZ etc]# /opt/clamav/bin/freshclam
 ERROR: Can't change dir to /opt/clamav/share/clamav

出現上面錯誤，直接建立一個文件夾並受權給clamav用戶便可。

[root@AY14061209501523080aZ etc]# mkdir -p /opt/clamav/share/clamav
[root@AY14061209501523080aZ etc]# /opt/clamav/etc# chown clamav:clamav /opt/clamav/share/clamav

繼續更新（很慢）

[root@AY14061209501523080aZ:/opt/clamav/etc]# /opt/clamav/bin/freshclam
ClamAV update process started at Thu Mar  9 18:33:03 2017
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.97.6 Recommended version: 0.99.2
DON'T PANIC! Read http://www.clamav.net/support/faq
Downloading main.cvd [100%]

main.cvd updated (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
Downloading daily.cvd [  4%]

因爲ClamAV不是最新版本，因此有告警信息。能夠忽略或升級最新版本。病毒庫須要按期升級，例如我次日升級病毒庫

6：ClamAV 使用

可使用/opt/clamav/bin/clamscan -h查看相應的幫助信息

· 掃描全部用戶的主目錄就使用 clamscan -r /home

· 掃描您計算機上的全部文件而且顯示全部的文件的掃描結果，就使用 clamscan -r /

· 掃描您計算機上的全部文件而且顯示有問題的文件的掃描結果，就使用 clamscan -r --bell -i /

執行下面命令掃描根目錄下面的全部文件。以下所示：56個文件被感染了。基本上都是Linux.Trojan.Agent和Linux.Backdoor.Gates等。

/opt/clamav/bin/clamscan -r --bell -i

root@AY14061209501523080aZ:/opt/clamav/etc# /opt/clamav/bin/clamscan -r /bin --bell -i /
/bin/DDosClient: Unix.Trojan.Flooder-27 FOUND
/bin/ss: Unix.Trojan.Agent-37008 FOUND

手動刪除病毒：

[root@AY14061209501523080aZ:/bin]#  ls DDos*
[root@AY14061209501523080aZ:/bin]#  ls DDos*
[root@AY14061209501523080aZ:/bin]#  rm DDosClient