阿里云机器中毒

昨天晚上收到阿里云的短信和邮件，说服务器中毒，内容以下：

经检测您的云服务器（ip）存在恶意发包行为，为避免影响您服务器的正常使用，请您务必重视并尽快处理，须要您尽快排查您的安全隐患。目前系统不会处罚您的机器，但请您务必重视。

就怕被惩罚（近小黑屋），因此赶忙登陆服务器，上去以后没发现什么异常，可是发现这台机器居然一直是裸奔状态，赶忙安装防火墙，一切正常，直到今天下午又收到阿里云的短信和邮件，服务器根本就不能登陆，cpu和带宽都被赞用了，很慢，等了一会仍是不能进入，直接管理后台重启了机器，重启后赶忙登陆，开启防火墙，只容许特定ip访问，切断其它一切访问。

安装杀毒软件 ClamAV

ClamAV是一个在命令行下查毒软件，由于它不将杀毒做为主要功能，默认只能查出您计算机内的病毒，可是没法清除，至多删除文件。ClamAV能够工做不少的平台上，可是有少数没法支持，这就要取决您所使用的平台的流行程度了。另外它主要是来防御一些WINDOWS病毒和木马程序。另外，这是一个面向服务端的软件。

下载ClamAV安装包

官网：http://www.clamav.net/downloa...

wget http://www.clamav.net/downloads/production/clamav-0.99.2.tar.gz

wget http://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gz

tar xvzf zlib-1.2.7.tar.gz
cd zlib-1.2.7
./configure 
make && make install

添加用户组clamav和组成员clamav

[root@iZwz92o4464Z zlib-1.2.7]# groupadd clamav
[root@iZwz92o4464Z zlib-1.2.7]# useradd -g clamav -s /bin/false -c "Clam AntiVirus" clamav

安装Clamav-0.99.2

[root@iZwz92o4464Z tmp]# tar xvzf clamav-0.99.2.tar.gz
[root@iZwz92o4464Z tmp]# cd clamav-0.99.2
[root@iZwz92o4464Z clamav-0.99.2]# ./configure --prefix=/opt/clamav  --disable-clamav
[root@iZwz92o4464Z clamav-0.99.2]# make
[root@iZwz92o4464Z clamav-0.99.2]# make install

配置Clamav

1：建立目录

[root@iZwz92o4464Z clamav-0.99.2]# mkdir /opt/clamav/logs 
[root@iZwz92o4464Z clamav-0.99.2]# mkdir /opt/clamav/updata

2：建立文件

[root@iZwz92o4464Z clamav-0.99.2]# touch /opt/clamav/logs/freshclam.log
[root@iZwz92o4464Z clamav-0.99.2]# touch /opt/clamav/logs/clamd.log

 
[root@iZwz92o4464Z clamav-0.99.2]# cd /opt/clamav/logs
[root@iZwz92o4464Z clamav-0.99.2]# cd logs
[root@iZwz92o4464Z clamav-0.99.2]# ls
clamd.log  freshclam.log
[root@LNX17 logs]# ls -lrt
total 0
-rw-r--r--. 1 root root 0 Aug 21 22:10 freshclam.log
-rw-r--r--. 1 root root 0 Aug 21 22:10 clamd.log

3: 修改属主

[root@iZwz92o4464Z logs]# chown clamav:clamav clamd.log 
[root@iZwz92o4464Z logs]# chown clamav:clamav freshclam.log 
[root@iZwz92o4464Z logs]# ls -lrt
total 0
-rw-r--r--. 1 clamav clamav 0 Aug 21 22:10 freshclam.log
-rw-r--r--. 1 clamav clamav 0 Aug 21 22:10 clamd.log
[root@iZwz92o4464Z logs]#

4：修改配置文件

root@AY14061209501523080aZ: vim /opt/clamav/etc/clamd.conf

# Example 注释掉这一行. 第8 行　　

LogFile /logs/clamd.log   删掉前面的注释目录改成/opt/clamav/logs/clamd.log  
PidFile /opt/clamav/updata/clamd.pid 删掉前面的注释路径改成/opt/clamav/updata/clamd.pid
DatabaseDirectory /opt/clamav/updata 同上

root@AY14061209501523080aZ:/opt/clamav# vim
/opt/clamav/etc/freshclam.conf

将Example 这一行注释掉。不然在更新反病毒数据库是就有可能出现下面错误

ERROR: Please edit the example config file /opt/clamav/etc/freshclam.conf
ERROR: Can't open/parse the config file /opt/clamav/etc/freshclam.conf

5：升级病毒库

[root@AY14061209501523080aZ etc]# /opt/clamav/bin/freshclam
 ERROR: Can't change dir to /opt/clamav/share/clamav

出现上面错误，直接建立一个文件夹并受权给clamav用户便可。

[root@AY14061209501523080aZ etc]# mkdir -p /opt/clamav/share/clamav
[root@AY14061209501523080aZ etc]# /opt/clamav/etc# chown clamav:clamav /opt/clamav/share/clamav

继续更新（很慢）

[root@AY14061209501523080aZ:/opt/clamav/etc]# /opt/clamav/bin/freshclam
ClamAV update process started at Thu Mar  9 18:33:03 2017
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.97.6 Recommended version: 0.99.2
DON'T PANIC! Read http://www.clamav.net/support/faq
Downloading main.cvd [100%]

main.cvd updated (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
Downloading daily.cvd [  4%]

因为ClamAV不是最新版本，因此有告警信息。能够忽略或升级最新版本。病毒库须要按期升级，例如我次日升级病毒库

6：ClamAV 使用

可使用/opt/clamav/bin/clamscan -h查看相应的帮助信息

· 扫描全部用户的主目录就使用 clamscan -r /home

· 扫描您计算机上的全部文件而且显示全部的文件的扫描结果，就使用 clamscan -r /

· 扫描您计算机上的全部文件而且显示有问题的文件的扫描结果，就使用 clamscan -r --bell -i /

执行下面命令扫描根目录下面的全部文件。以下所示：56个文件被感染了。基本上都是Linux.Trojan.Agent和Linux.Backdoor.Gates等。

/opt/clamav/bin/clamscan -r --bell -i

root@AY14061209501523080aZ:/opt/clamav/etc# /opt/clamav/bin/clamscan -r /bin --bell -i /
/bin/DDosClient: Unix.Trojan.Flooder-27 FOUND
/bin/ss: Unix.Trojan.Agent-37008 FOUND

手动删除病毒：

[root@AY14061209501523080aZ:/bin]#  ls DDos*
[root@AY14061209501523080aZ:/bin]#  ls DDos*
[root@AY14061209501523080aZ:/bin]#  rm DDosClient