在centos7上安装ClamAV杀毒,并杀毒(centos随机英文10字母)成功
2016-12-04 00:24
981 查看
前言
上传文件的时候发现总是失败,查看top发现有个进程一直cpu占用80%以上,而且名称还是随机数。kill之后,一会儿又重新生成了。突然发现居然没有在服务端杀毒的经历。在此处补齐。安装clamav
http://www.linuxdiyf.com/linux/18635.htmlhttp://www.linuxidc.com/Linux/2013-09/90021.htm
http://www.linuxidc.com/Linux/2013-08/88981.htm
扫描
clamscan -r /usr/bin -l /home/clamav.log --remove
-r表示文件夹递归
/usr/bin是病毒扫描目录
-l 是小写的L,后面是日志文件
--remove是删除掉病毒,但如果害怕误删除应该--move.不过我就直接删除了。
结果:
----------- SCAN SUMMARY ----------- Known viruses: 5180110 Engine version: 0.99.2 Scanned directories: 29655 Scanned files: 167613 Infected files: 9 Total errors: 22919 Data scanned: 8238.96 MB Data read: 11093.36 MB (ratio 0.74:1) Time: 1264.429 sec (21 m 4 s)
然后查看日志:
[root@121 bin]# more /home/clamav.log | grep Removed /usr/bin/cnndpyizhj: Removed. /usr/bin/nrklkyfekn: Removed. /usr/bin/gdyyzgtmlj: Removed. /usr/bin/ledzqwnycy: Removed. /usr/bin/idtzyjxhxe: Removed. /usr/bin/ikeabglldp: Removed. /usr/bin/qbfqilhtiw: Removed. /usr/bin/chwrmovzsx: Removed. /usr/lib/libudev.so: Removed.
看到几个病毒文件给删除。然后病毒原体libudev.so也删除。还以为皆大欢喜,可以睡觉了。谁知道过了没多久,又看到病毒肆虐了。第一次这么仇恨病毒。于是百度 libudev.so找到很多随机10字母病毒的文章。按照顺序删除文件,效果还不错。
问题
上传文件到服务器,发现总是卡着。以为是网路问题,结果表明是系统繁忙。罪魁祸首是一个随机英文10字母的病毒。会在/etc/init.d下生成启动文件,会在
/usr/bin/xxxx下生成
xxxx文件。kill后会重新生成新的进程和文件。所以,必须找到病毒原体。
解决
首先,查看定时任务。crontab -l
没有任何任务。
[root@121 init.d]# cat /etc/crontab SHELL=/bin/bash PATH=/sbin:/bin:/usr/sbin:/usr/bin MAILTO=root # For details see man 4 crontabs # Example of job definition: # .---------------- minute (0 - 59) # | .------------- hour (0 - 23) # | | .---------- day of month (1 - 31) # | | | .------- month (1 - 12) OR jan,feb,mar,apr ... # | | | | .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat # | | | | | # * * * * * user-name command to be executed */3 * * * * root /etc/cron.hourly/gcc.sh
发现一个gcc脚本,不是我们创建的,显然是病毒。查看发现原来在执行一个叫做libudev.so的脚本。
删除病毒
我手动删除了crontab里的任务,但发现很快又被创建了。所以必须停止掉进程。参考的几篇文章在最后,采用了如下做法:kill -stop {pid} #查看top的pid,停止它而不是-9
chmod 000 /usr/bin/xxxxxxx && chattr +i /usr/bin 最后一个锁定目录,不允许添加。不允许添加很重要
cd /etc/init.d 然后删除不认识的启动项目
删除gcc.sh
删除crontab任务
删除 /lib/libude.so /lib/libudev.so.6
删除产生的文件
最后再删除一遍crontab里重新生成的任务
[root@121 bin]# ls -lt | head total 205196 -rwxr-xr-x. 1 root root 0 Dec 3 17:57 mtexjsonvz -rwxr-xr-x. 1 root root 4096 Dec 3 17:30 jqgcppiqrt -rwxr-xr-x. 1 root root 0 Dec 3 17:18 nchnwflgyw -rwxr-xr-x. 1 root root 0 Dec 3 17:11 orymfmjitf -rwxr-xr-x. 1 root root 4096 Dec 3 17:07 sbzqxjzvyk -rwxr-xr-x. 1 root root 4096 Dec 3 17:04 mmmyfojril -rwxr-xr-x. 1 root root 4096 Dec 3 16:48 dfkcgwfuff -rwxr-xr-x. 1 root root 0 Dec 3 16:43 psuiwjkapn -rwxr-xr-x. 1 root root 36864 Dec 3 16:43 lnovkdrabl [root@121 bin]# rm -rf mtexjsonvz jqgcppiqrt nchnwflgyw orymfmjitf sbzqxjzvyk mmmyfojril dfkcgwfuff psuiwjkapn lnovkdrabl
过一会,看看会不会产生信息的进程。如果没事了就解锁/usr/bin:
chattr -i /usr/bin
到目前为止,还没看到新的病毒产生。杀毒完成。
参考
Centos7安装杀毒软件ClamAV, linuxdiyf, 2016完全开源的杀病毒软件ClamAV,Linux公社,2013
(总结)Linux的chattr与lsattr命令详解, 2012
[原创]Linux下随机10字符病毒的清除
Linux下随机10字符病毒的清除,csdn,2016
相关文章推荐
- centos 6.4安装杀毒软件clamAV 0.98[转]
- Centos7安装杀毒软件ClamAV
- 如何在CentOS 7上安装Vmware 10?成功安装Vmware 10的方法
- centos 6.4安装杀毒软件clamAV 0.98
- Centos7安装杀毒软件ClamAV
- centos clamav杀毒软件安装配置及查杀,没想到linux下病毒比windows还多!
- centos 10字母随机文件病毒清理
- centos 6.0安装杀毒软件clamAV 0.98
- centos 6.5安装杀毒软件clamav
- Centos 安装ClamAv 杀毒软件
- Centos6.8系统安装代码杀毒软件:ClamAV
- centos clamav杀毒软件安装配置及查杀,没想到linux下病毒比windows还多!
- CentOS下杀毒工具ClamAV安装
- Centos7安装杀毒软件ClamAV
- centos 6.5 下安装ClamAV杀毒软件
- 自己在安装centos 系统时, 是使用英文安装 成功,现在系统语言为英语,如何设置为中文?
- U盘 安装 CentOS 5.4 / Fefora 10/11/12
- CLAMAV 杀毒软件安装及使用配置
- 在linux centos5.3下成功用ftp安装好xen虚拟机centos5.3