linux 一次杀毒经历
杀毒文档整理
能申请网络尽量申请网络,一般上来会让你进行更换yum,自带yum慢且不完整。
一、进行yum换源
如果没有安装wget,先安装一下。命令:yum install wget -y
进入yum配置文件目录(固定的)。命令:cd /etc/yum.repo.d/
目标是更换CentOS-Base.repo文件,先备份一下。命令: mv CentOS-Base.repo CentOS-Base.repo.bak
通过wget工具,从阿里云获取配置文件,根据自己centos的版本选择即可
命令 :
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-5.repo
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-8.repo
文件里面长这样,可以看到所有的资源获取路径都变成了阿里云镜像
刚才有说到yum的本地缓存,所以需要先清空一波本地的缓存,再用阿里云的替换掉。
命令:yum clean all
制作阿里云的缓存。命令:yum makecache
二、进行在线安装clamav
安装EPEL源
(http://www.cyberciti.biz/faq/installing-rhel-epel-repo-on-centos-redhat-7-x/)
Clamav可以通过EPEL源来安装,所以要首先安装EPEL,可以采用两种方法来安装:
第一种,通过命令行安装
[root@server_for_product ~]# yum install epel-release
第二种,使用下载好的安装包进行安装
[root@server_for_product ~]# cd /tmp
[root@server_for_product tmp]# wget https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
ls .rpm
[root@server_for_product tmp]# yum install epel-release-7.noarch.rpm
刷新安装源并查看是否已经安装
[root@server_for_product ~]# yum repolist
看到以下字样就代表安装完成
epel/x86_64 Extra Packages for Enterprise Linux 7 - x86_64
查看EPEL源含有的安装包
[root@server_for_product ~]# yum --disablerepo="" --enablerepo=“epel” list available | less
安装ClamAV
在安装了EPEL源后,运行下面的命令安装ClamAV
[root@server_for_product ~]# yum install clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd -y
在两个配置文件/etc/freshclam.conf和/etc/clamd.d/scan.conf中移除“Example”字符
[root@server_for_product ~]#sed -i -e “s/^Example/#Example/” /etc/freshclam.conf
[root@server_for_product ~]#sed -i -e “s/^Example/#Example/” /etc/clamd.d/scan.conf
手动更新病毒库
[root@server_for_product ~]# freshclam
[root@server_for_product kylin]# tail /etc/sysconfig/freshclam
This option accepts two special values:
‘disabled-warn’ … disables the automatic freshclam update and
gives out a warning
‘disabled’ … disables the automatic freshclam silently
FRESHCLAM_DELAY=
!!! REMOVE ME !!!
REMOVE ME: By default, the freshclam update is disabled to avoid
REMOVE ME: network access without prior activation
FRESHCLAM_DELAY=disabled-warn # REMOVE ME
记得移除上面红色字体。
定义服务器类型(本地或者TCP),在这里定义为使用本地socket,将文件/etc/clam.d/scan.conf中的这一行前面的注释符号去掉:
#LocalSocket /var/run/clamd.scan/clamd.sock
[root@server_for_product ~]# systemctl strat clamav-freshclam.service
[root@server_for_product ~]# systemctl status clamav-freshclam.service
看到active字样就表示安装成功。
再手动更新一次病毒库
[root@server_for_product ~]# freshclam
三、启动扫描clamav(不要直接删除尽量先扫描一遍看看文件是否为可以删除的文件)
从根目录下开始,扫描所有文件并且只显示有问题的文件,发现病毒文件发出警报声音
clamscan -r --bell -i /
1
不显示统计信息,只显示找到的病毒文件,且将病毒文件移动到/tmp路径下;
clamscan --no-summary -ri /tmp
1
扫描 home 路径以及其路径下所有子目录,只输出被感染文件,且将病毒文件、被感染文件直接删除;
clamscan --infected --remove --recursive /home
clamscan --infected --recursive – remove --exclude-dir=“^/sys” /
–infected 打印感染的文件
–exclude-dir=“^/sys” 不扫描 /sys目录
–recursive 遍历所有子目录及文件
– remove需要慎用,可以在确认文件缺失被感染后手动删除
四、解决clamav删除不掉的僵木蠕感染
恢复以上命令,可以使用yum重装以下rpm包:
1 ps 属于 procps
2 ss 属于 iproute
3 netstat 属于 net-tools
4 使用yum重装可恢复
5 yum -y reinstall procps lsof iproute net-tools
查杀过程
3.1 暂停木马进程,主要不能kill掉
1 kill -9 木马进程
不能杀完,杀掉以后自动生成,文件名随机
3.2 删除计划任务/etc/crontab下的异常计划任务
01 cat /etc/crontab
02 SHELL=/bin/bash
03 PATH=/sbin:/bin:/usr/sbin:/usr/bin
04 MAILTO=root
05 HOME=/
06 # run-parts
07 01 * * * * root run-parts /etc/cron.hourly
08 02 4 * * * root run-parts /etc/cron.daily
09 22 4 * * 0 root run-parts /etc/cron.weekly
10 42 4 1 * * root run-parts /etc/cron.monthly
11 */3 * * * * root /etc/cron.hourly/gcc4.sh #异常的
删除/etc/crontab下面最后一行计划任务,然后再删除/etc/cron.hourly下面的文件
gcc4.sh文件内容如上图。
3.3 删除如下目录和文件
根据网上面的操作指引,删除下面的文件,有些可能目录不同。
01 rm -rf /usr/bin/dpkgd (ps netstat lsof ss)
02 rm -rf /usr/bin/bsd-port (木马程序)
03 rm -f /usr/local/zabbix/sbin/zabbix_AgentD (木马程序)
04 rm -f /usr/local/zabbix/sbin/conf.n
05 rm -f /usr/bin/.sshd
06 rm -f /usr/bin/sshd
07 rm -f /root/cmd.n
08 rm -f /root/conf.n
09 rm -f /root/IP
10 rm -f /tmp/gates.lod
11 rm -f /tmp/moni.lod
12 rm -f /tmp/notify.file 程序
13 rm -f /tmp/gates.lock 进程号
14 rm -f /etc/rc.d/init.d/DbSecuritySpt(启动上述描述的那些木马变种程序)
15 rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt
16 rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt
17 rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt
18 rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt
19 rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt
20 rm -f /etc/rc.d/init.d/selinux(默认是启动/usr/bin/bsd-port/getty)
21 rm -f /etc/rc.d/rc1.d/S99selinux
22 rm -f /etc/rc.d/rc2.d/S99selinux
23 rm -f /etc/rc.d/rc3.d/S99selinux
24 rm -f /etc/rc.d/rc4.d/S99selinux
25 rm -f /etc/rc.d/rc5.d/S99selinux
如果无法删除以上文件,可能是文件被附加了i属性,使用chattr -i 去掉文件的i属性,若chattr命令被木马删除,则从其他地方拷贝一个放在/usr/bin下。使用下面的命令也可以完成安装。
1 yum install e2fsprogs #可以恢复chattr lsattr
3.4 删除服务里面的异常服务
1 chkconfig --list|grep :on
2 chkconfig --del 异常服务名
3 cat /etc/rc.local #这里无异常
3.5 使用clamav进行病毒查杀
01 #安装
02 yum install -y epel-release
03 yum install -y clamav
04 #更新病毒库
05 freshclam
06 #扫描方法
07 clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.log
08 clamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.log
09 clamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log
10 #扫描并杀毒
11 clamscan -r --remove /usr/bin/bsd-port
12 clamscan -r --remove /usr/bin/
13 clamscan -r --remove /usr/local/zabbix/sbin
14 #查看日志发现
15 cat /root/usrclamav.log |grep FOUND
16 /usr/bin/ohhnzdjent: Unix.Trojan.DDoS_XOR-1 FOUND
17 /usr/bin/oracle: Legacy.Trojan.Agent-1388639 FOUND
18 /usr/bin/tgbtrjldlq: Unix.Trojan.DDoS_XOR-1 FOUND
19 /usr/bin/wcwghpgruw: Unix.Trojan.DDoS_XOR-1 FOUND
3.6 彻底查杀木马
经过上面的查杀以后,基本上消灭了大部分的病毒文件,但是使用top,htop命令会发现,病毒会不断的自动生成,相互守护,导致无法彻底杀完,经过多次的分析与尝试,发现可能是/lib/libudev4.so文件导致的。
- 尝试破坏病毒文件
1 echo slkfhrl,kfhs > /lib/libudev4.so
2 rm -f /lib/libudev4.so
3 touch /lib/libudev4.so
4 chattr +i /lib/libudev4.so - 通过关联文件清除服务里面的异常服务
1 grep -r scon.sh /etc/