Linux Unix.Trojan.Elknot (Linux.BackDoor.Gates.5)木马清理
此恶意软件结合了传统后门程序和DDoS攻击木马的功能
前两天性能测试服务器被种马,cpu一直占用率90%以上,机器运行非常卡,同时也出现疯狂向外发包的现象,怀疑已被用做了ddos攻击的肉鸡。
出现以下几种异常现象:
1、用TOP可以查看到相关进程名:/usr/bin/bsd-port/agent 且用 ps -ef 无法查看到该进程号,当然也无法中止该进程。怀疑 ps 等部分文件也被感染于是从其它机器上分别传过来进行替换。
2、在/etc/init.d/目录下发现 seliunux 、iscsi、scsi、YbSecurityHdt 被感染的服务程序,同时为了使该木马程序开机自动启动,在/etc/rc.d/rc*.d/下面建立了几个软链接文件分别指向 seliunux 、iscsi、scsi、YbSecurityHdt 这几个文件。
3、在/etc/ssh/下发现 bashpa、sshpa 异常文件,应该是ssh后门相关的。分别chattr -i 后再删除之
删除相关不应有的软链接和服务脚本文件后,立即重启系统后正常。
参考资料:http://blog.csdn.net/liukeforever/article/details/38560363
-------------------------------------------------------------------------------------------------
一、概述
Linux比其它操作系统更稳定更安全。理论上Linux是有可能被病毒侵害的。但实际上 Linux机器几乎不可能遭受病毒的攻击。所以我这里的问题是为什么要为Linux准备防病毒软件,为了更好理解,我准备了以下理由,Linux平台安装杀毒软件的原因:1、从Linux平台扫描Windows驱动。2、通过网络扫描Windows工作站。3、在Linux服务器中扫描接收和发送的邮件。4、扫描发送给其它机器的重要文件。
下面向你推荐最好的免费的Linux平台杀毒软件:1、ClamAV 杀毒。2、Avast Linux 家庭版。3、Avast Linux 家庭版。4、AVG 免费版杀毒。5、F-PROT 杀毒。
我们主要来介绍ClamAV 杀毒:ClamAV 杀毒是Linux平台最受欢迎的杀毒软件,ClamAV属于免费开源产品,支持多种平台,如:Linux/Unix、MAC OS X、Windows、OpenVMS。ClamAV是基于病毒扫描的命令行工具,但同时也有支持图形界面的ClamTK工具。ClamAV主要用于邮件服务器扫描邮件。它有多种接口从邮件服务器扫描邮件,支持文件格式有如:ZIP、RAR、TAR、GZIP、BZIP2、HTML、DOC、PDF,、SIS CHM、RTF等等。ClamAV有自动的数据库更新器,还可以从共享库中运行。
编译ClamAV时应包括zlib库,用于压缩和解压缩函数。(下述为以clamav-0.97.6.tar.gz为例的编译安装和使用)
使用yum install clamav clamd clamav-update -y 进行一键安装
#sed -i '/^TCPAddr/{ s/127.0.0.1/0.0.0.0/g }' /etc/clamd.d/scan.conf
#sed -i 's/^Example/#Example/' /etc/clamd.d/scan.conf ; sed -i 's/^Example/#Example/' /etc/freshclam.conf
二、系统环境
系统环境:centos 6.2
软件:
1、zlib-1.2.7.tar.gz
下载:wget http://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gz
2、clamav-0.97.6.tar.gz
下载:wget http://nchc.dl.sourceforge.net/project/clamav/clamav/0.97.6/clamav-0.97.6.tar.gz
三、安装
1、zlib-1.2.7.tar.gz安装
tar xvzf zlib-1.2.7.tar.gz #cd zlib-1.2.7 #./configure #make && make install
2、添加用户组clamav和组成员clamav(注:在安装clamav-0.97.6.tar.gz前必须先添加用户)
# groupadd clamav # useradd -g clamav -s /bin/false -c "Clam AntiVirus" clamav
3、clamav-0.97.6.tar.gz
#tar xvzf clamav-0.97.6.tar.gz
#cd clamav-0.97.6
# ./configure --prefix=/opt/clamav --disable-clamav # make #make install
四、配置
1、创建目录
mkdir /opt/clamav/logs (日志存放目录) mkdir /opt/clamav/updata (clanav 病毒库目录)
2、创建文件
在/var/log目录下添加两个logs文件:clamd.log和freshclam.log,将所有者改为新加的clamav用户,并设置相应的文件读写权限
#touch /opt/clamav/logs/freshclam.log #touch /opt/clamav/logs/clamd.log
3、配置/etc/clam.conf文件
#cd /opt/clamav
#vi etc/clamd.conf
# Example 注释掉这一行. 第8 行
TCPAddr 127.0.0.1 改成 0.0.0.0
LogFile /opt/clamav/logs/clamd.log 删掉前面的注释目录改为logs下面 第14行
PidFile /opt/clamav/updata/clamd.pid 删掉前面的注释路径改一下 第57行
DatabaseDirectory /opt/clamav/updata 同上 第65行
4、配置freshclam.conf文件
#vi etc/freshclam.conf
#Example 注释掉这一行
DatabaseDirectory /opt/clamav/updata
UpdateLogFile /opt/clamav/logs/freshclam.log
PidFile /opt/clamav/updata/freshclam.pid
5、文件授权
#chown clamav:clamav /opt/clamav/logs/freshclam.log #chown clamav:clamav /opt/clamav/logs/clamd.log #chown clamav:clamav /opt/clamav/updata
五、执行
1、升级
#/opt/clamav/bin/freshclam (升级病毒库)
2、杀毒
#ln -s /opt/clamav/bin/* /usr/local/sbin/
#clamscan --查杀当前目录下的文件 #clamscan -r --查杀当前目录的所有文件及目录
#clamscan dir --查杀dir目录
#clamscan -r dir --查杀目录dir下的所有文件及目录
#/opt/clamav/bin/clamscan --remove --扫描到感染文件后直接删除
#/opt/clamav/bin/clamscan -l /*.log --保存扫描日志
3、帮助
#/opt/clamav/bin/clamscan --help
六、自动更新
freshclam的自动更新
后台运行freshclam:
# freshclam -d
还可以使用cron后台自动定时运行freshclam:将下述行加到crontab中:
N * * * * /opt/bin/freshclam --quiet
(其中,N是-3-57之间的数据,表示每隔N个小时检查更新病毒数据库)
1 3 * * * /usr/local/clamav/bin/freshclam --quiet
20 3 * * * /usr/local/clamav/bin/clamscan -r /home --remove -l /var/log/clamscan.log
参考资料:http://www.jb51.net/LINUXjishu/224647.html
http://wiki.ubuntu.org.cn/ClamAV