资讯专栏INFORMATION COLUMN

阿里云机器中毒

Render / 399人阅读

摘要:昨天晚上收到阿里云的短信和邮件,说服务器中毒,内容如下经检测您的云服务器存在恶意发包行为,为避免影响您服务器的正常使用,请您务必重视并尽快处理,需要您尽快排查您的安全隐患。

昨天晚上收到阿里云的短信和邮件,说服务器中毒,内容如下:

经检测您的云服务器(ip)存在恶意发包行为,为避免影响您服务器的正常使用,请您务必重视并尽快处理,需要您尽快排查您的安全隐患。目前系统不会处罚您的机器,但请您务必重视。

就怕被惩罚(近小黑屋),所以赶紧登录服务器,上去之后没发现什么异常,但是发现这台机器竟然一直是裸奔状态,赶紧安装防火墙,一切正常,直到今天下午又收到阿里云的短信和邮件,服务器根本就不能登录,cpu和带宽都被赞用了,很慢,等了一会还是不能进入,直接管理后台重启了机器,重启后赶紧登录,开启防火墙,只允许特定ip访问,切断其它一切访问。

安装杀毒软件 ClamAV

ClamAV是一个在命令行下查毒软件,因为它不将杀毒作为主要功能,默认只能查出您计算机内的病毒,但是无法清除,至多删除文件。ClamAV可以工作很多的平台上,但是有少数无法支持,这就要取决您所使用的平台的流行程度了。另外它主要是来防护一些WINDOWS病毒和木马程序。另外,这是一个面向服务端的软件。

下载ClamAV安装包

官网:http://www.clamav.net/downloa...

wget http://www.clamav.net/downloads/production/clamav-0.99.2.tar.gz
wget http://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gz
tar xvzf zlib-1.2.7.tar.gz
cd zlib-1.2.7
./configure 
make && make install
添加用户组clamav和组成员clamav
[root@iZwz92o4464Z zlib-1.2.7]# groupadd clamav
[root@iZwz92o4464Z zlib-1.2.7]# useradd -g clamav -s /bin/false -c "Clam AntiVirus" clamav
安装Clamav-0.99.2
[root@iZwz92o4464Z tmp]# tar xvzf clamav-0.99.2.tar.gz
[root@iZwz92o4464Z tmp]# cd clamav-0.99.2
[root@iZwz92o4464Z clamav-0.99.2]# ./configure --prefix=/opt/clamav  --disable-clamav
[root@iZwz92o4464Z clamav-0.99.2]# make
[root@iZwz92o4464Z clamav-0.99.2]# make install
配置Clamav 1:创建目录
[root@iZwz92o4464Z clamav-0.99.2]# mkdir /opt/clamav/logs 
[root@iZwz92o4464Z clamav-0.99.2]# mkdir /opt/clamav/updata 
2:创建文件
[root@iZwz92o4464Z clamav-0.99.2]# touch /opt/clamav/logs/freshclam.log
[root@iZwz92o4464Z clamav-0.99.2]# touch /opt/clamav/logs/clamd.log

 
[root@iZwz92o4464Z clamav-0.99.2]# cd /opt/clamav/logs
[root@iZwz92o4464Z clamav-0.99.2]# cd logs
[root@iZwz92o4464Z clamav-0.99.2]# ls
clamd.log  freshclam.log
[root@LNX17 logs]# ls -lrt
total 0
-rw-r--r--. 1 root root 0 Aug 21 22:10 freshclam.log
-rw-r--r--. 1 root root 0 Aug 21 22:10 clamd.log
3: 修改属主
[root@iZwz92o4464Z logs]# chown clamav:clamav clamd.log 
[root@iZwz92o4464Z logs]# chown clamav:clamav freshclam.log 
[root@iZwz92o4464Z logs]# ls -lrt
total 0
-rw-r--r--. 1 clamav clamav 0 Aug 21 22:10 freshclam.log
-rw-r--r--. 1 clamav clamav 0 Aug 21 22:10 clamd.log
[root@iZwz92o4464Z logs]# 
4:修改配置文件

root@AY14061209501523080aZ: vim /opt/clamav/etc/clamd.conf

# Example 注释掉这一行. 第8 行  

LogFile /logs/clamd.log   删掉前面的注释目录改为/opt/clamav/logs/clamd.log  
PidFile /opt/clamav/updata/clamd.pid 删掉前面的注释路径改为/opt/clamav/updata/clamd.pid
DatabaseDirectory /opt/clamav/updata 同上

root@AY14061209501523080aZ:/opt/clamav# vim
/opt/clamav/etc/freshclam.conf

将Example 这一行注释掉。否则在更新反病毒数据库是就有可能出现下面错误

ERROR: Please edit the example config file /opt/clamav/etc/freshclam.conf
ERROR: Can"t open/parse the config file /opt/clamav/etc/freshclam.conf
5:升级病毒库
[root@AY14061209501523080aZ etc]# /opt/clamav/bin/freshclam
 ERROR: Can"t change dir to /opt/clamav/share/clamav

出现上面错误,直接创建一个文件夹并授权给clamav用户即可。

[root@AY14061209501523080aZ etc]# mkdir -p /opt/clamav/share/clamav
[root@AY14061209501523080aZ etc]# /opt/clamav/etc# chown clamav:clamav /opt/clamav/share/clamav

继续更新(很慢)

[root@AY14061209501523080aZ:/opt/clamav/etc]# /opt/clamav/bin/freshclam
ClamAV update process started at Thu Mar  9 18:33:03 2017
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.97.6 Recommended version: 0.99.2
DON"T PANIC! Read http://www.clamav.net/support/faq
Downloading main.cvd [100%]

main.cvd updated (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
Downloading daily.cvd [  4%]

由于ClamAV不是最新版本,所以有告警信息。可以忽略或升级最新版本。病毒库需要定期升级,例如我第二天升级病毒库

6:ClamAV 使用

可以使用/opt/clamav/bin/clamscan -h查看相应的帮助信息

· 扫描所有用户的主目录就使用 clamscan -r /home

· 扫描您计算机上的所有文件并且显示所有的文件的扫描结果,就使用 clamscan -r /

· 扫描您计算机上的所有文件并且显示有问题的文件的扫描结果,就使用 clamscan -r --bell -i /

执行下面命令扫描根目录下面的所有文件。如下所示:56个文件被感染了。基本上都是Linux.Trojan.Agent和Linux.Backdoor.Gates等。

/opt/clamav/bin/clamscan -r --bell -i

root@AY14061209501523080aZ:/opt/clamav/etc# /opt/clamav/bin/clamscan -r /bin --bell -i /
/bin/DDosClient: Unix.Trojan.Flooder-27 FOUND
/bin/ss: Unix.Trojan.Agent-37008 FOUND

手动删除病毒:

[root@AY14061209501523080aZ:/bin]#  ls DDos*
[root@AY14061209501523080aZ:/bin]#  ls DDos*
[root@AY14061209501523080aZ:/bin]#  rm DDosClient

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/9819.html

相关文章

  • 阿里机器中毒

    摘要:昨天晚上收到阿里云的短信和邮件,说服务器中毒,内容如下经检测您的云服务器存在恶意发包行为,为避免影响您服务器的正常使用,请您务必重视并尽快处理,需要您尽快排查您的安全隐患。 昨天晚上收到阿里云的短信和邮件,说服务器中毒,内容如下: 经检测您的云服务器(ip)存在恶意发包行为,为避免影响您服务器的正常使用,请您务必重视并尽快处理,需要您尽快排查您的安全隐患。目前系统不会处罚您的机器,但请...

    gplane 评论0 收藏0
  • 【数据恢复案例】苏州某公司服务器感染.[paybackformistake@qq.com].mako

    摘要:万一不幸感染了这个勒索病毒,您应该做的第一件事就是断网检查数据中毒情况并寻找专业数据恢复公司的帮助。 目录 前言:案例简介 一、什么是.[paybackformistake@qq.com].makop勒索病毒? 二、中了.[paybackformistake@qq.com].makop后缀勒...

    zebrayoung 评论0 收藏0
  • 阿里聚安全移动安全专家分享:APP渠道推广作弊攻防那些事儿

    摘要:阿里聚安全移动安全专家陵轩在网络安全生态峰会上分了渠道攻防的那些事儿。反进程枚举反越狱检测完美伪造日活业务数据阿里聚安全渠道反作弊解决方案阿里聚安全移动安全专家陵轩分享了阿里的渠道反作弊解决方案,独创五层识别模型。 移动互联网高速发展,要保持APP持续并且高速增长所需的成本也越来越高。美团网CEO在今年的一次公开会议上讲到:2017年对移动互联网公司来说是非常恐的。。主要表现在三个方面...

    justjavac 评论0 收藏0
  • 为拯救爸妈朋友圈,达摩院造了“谣言粉碎机”

    摘要:达摩院的科学家们最近在用识别谣言的研究上,有了一些小突破。有始有终,皆大欢喜达摩院所研发的谣言粉碎机,在刚刚结束的全球语义测试中,创造了假新闻识别准确率的新纪录,达到了前所未有的。谣言粉碎机技术的背后,是一次史无前例的信任重建。 showImg(https://segmentfault.com/img/remote/1460000018343265); 生命不可能从谎言中开出灿烂的鲜花...

    levy9527 评论0 收藏0
  • 最全“勒索病毒”的应对方案

    摘要:月日,勒索病毒在全球爆发了。恢复被删除的文件可以使用推出的勒索病毒文件恢复工具来恢复被删除的文件。建议重装系统前,首先将硬盘格式化,彻底去除勒索病毒的影响。 5月12日,勒索病毒在全球爆发了。截止到目前为止,包括英国、中国、美国、俄罗斯和意大利等在内的全球多个国家均受到此次病毒的攻击。 勒索病毒有什么危害? 这种名为WannaCrypt的病毒,会扫描开放445文件共享端口的Window...

    Jeffrrey 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<