专栏首页运维经验分享在centos7上安装ClamAV杀毒,并杀毒(centos随机英文10字母)成功

在centos7上安装ClamAV杀毒,并杀毒(centos随机英文10字母)成功

2019独角兽企业重金招聘Python工程师标准>>>

在centos7上安装ClamAV杀毒,并杀毒(centos随机英文10字母)成功

目录 前言 安装clamav 扫描 问题 解决 删除病毒 参考

前言

上传文件的时候发现总是失败,查看top发现有个进程一直cpu占用80%以上,而且名称还是随机数。kill之后,一会儿又重新生成了。突然发现居然没有在服务端杀毒的经历。在此处补齐。

安装clamav

http://www.linuxdiyf.com/linux/18635.html http://www.linuxidc.com/Linux/2013-09/90021.htm http://www.linuxidc.com/Linux/2013-08/88981.htm

扫描

clamscan -r /usr/bin -l /home/clamav.log --remove
  • -r表示文件夹递归
  • /usr/bin是病毒扫描目录
  • -l 是小写的L,后面是日志文件
  • --remove是删除掉病毒,但如果害怕误删除应该--move.不过我就直接删除了。

结果:

----------- SCAN SUMMARY -----------
Known viruses: 5180110
Engine version: 0.99.2
Scanned directories: 29655
Scanned files: 167613
Infected files: 9
Total errors: 22919
Data scanned: 8238.96 MB
Data read: 11093.36 MB (ratio 0.74:1)
Time: 1264.429 sec (21 m 4 s)

然后查看日志:

[root@121 bin]# more /home/clamav.log | grep Removed
/usr/bin/cnndpyizhj: Removed.
/usr/bin/nrklkyfekn: Removed.
/usr/bin/gdyyzgtmlj: Removed.
/usr/bin/ledzqwnycy: Removed.
/usr/bin/idtzyjxhxe: Removed.
/usr/bin/ikeabglldp: Removed.
/usr/bin/qbfqilhtiw: Removed.
/usr/bin/chwrmovzsx: Removed.
/usr/lib/libudev.so: Removed.

看到几个病毒文件给删除。然后病毒原体libudev.so也删除。还以为皆大欢喜,可以睡觉了。谁知道过了没多久,又看到病毒肆虐了。第一次这么仇恨病毒。于是百度 libudev.so找到很多随机10字母病毒的文章。按照顺序删除文件,效果还不错。

问题

上传文件到服务器,发现总是卡着。以为是网路问题,结果表明是系统繁忙。罪魁祸首是一个随机英文10字母的病毒。会在/etc/init.d下生成启动文件,会在/usr/bin/xxxx下生成xxxx文件。kill后会重新生成新的进程和文件。所以,必须找到病毒原体。

解决

首先,查看定时任务。

crontab -l

没有任何任务。

[root@121 init.d]# cat /etc/crontab
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root

# For details see man 4 crontabs

# Example of job definition:
# .---------------- minute (0 - 59)
# |  .------------- hour (0 - 23)
# |  |  .---------- day of month (1 - 31)
# |  |  |  .------- month (1 - 12) OR jan,feb,mar,apr ...
# |  |  |  |  .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# |  |  |  |  |
# *  *  *  *  * user-name  command to be executed

*/3 * * * * root /etc/cron.hourly/gcc.sh

发现一个gcc脚本,不是我们创建的,显然是病毒。查看发现原来在执行一个叫做libudev.so的脚本。

删除病毒

我手动删除了crontab里的任务,但发现很快又被创建了。所以必须停止掉进程。参考的几篇文章在最后,采用了如下做法:

  • kill -stop {pid} #查看top的pid,停止它而不是-9
  • chmod 000 /usr/bin/xxxxxxx && chattr +i /usr/bin 最后一个锁定目录,不允许添加。不允许添加很重要
  • cd /etc/init.d 然后删除不认识的启动项目
  • 删除gcc.sh
  • 删除crontab任务
  • 删除 /lib/libude.so /lib/libudev.so.6
  • 删除产生的文件
  • 最后再删除一遍crontab里重新生成的任务
[root@121 bin]# ls -lt | head
total 205196
-rwxr-xr-x. 1 root root           0 Dec  3 17:57 mtexjsonvz
-rwxr-xr-x. 1 root root        4096 Dec  3 17:30 jqgcppiqrt
-rwxr-xr-x. 1 root root           0 Dec  3 17:18 nchnwflgyw
-rwxr-xr-x. 1 root root           0 Dec  3 17:11 orymfmjitf
-rwxr-xr-x. 1 root root        4096 Dec  3 17:07 sbzqxjzvyk
-rwxr-xr-x. 1 root root        4096 Dec  3 17:04 mmmyfojril
-rwxr-xr-x. 1 root root        4096 Dec  3 16:48 dfkcgwfuff
-rwxr-xr-x. 1 root root           0 Dec  3 16:43 psuiwjkapn
-rwxr-xr-x. 1 root root       36864 Dec  3 16:43 lnovkdrabl
[root@121 bin]# rm -rf mtexjsonvz jqgcppiqrt nchnwflgyw orymfmjitf sbzqxjzvyk mmmyfojril dfkcgwfuff psuiwjkapn lnovkdrabl

过一会,看看会不会产生信息的进程。如果没事了就解锁/usr/bin:

chattr -i /usr/bin

到目前为止,还没看到新的病毒产生。杀毒完成。

(adsbygoogle = window.adsbygoogle || []).push({});

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Docker镜像由于代理问题导致不能下载的解决办法

    Pulling repository busybox 2014/04/16 09:37:07 Get https://index.docker.io/v1/r...

    Jerry Wang
  • 踩坑记录-crontab每10秒执行一次

    写在前面,记录一个linux小白使用crontab中遇到的各种坑及解决思路方法。网上帖子千千万,坑也是千千万。记录下,分享给大家。

    学一学大数据
  • jmeter(五十一)_性能测试中的服务器资源监控与分析

    性能测试过程中,对服务器资源的监控是必不可少的。这里的资源又分了两块,windows和linux

    飞天小子
  • Linux-Bash配置

    bash登陆后显示的欢迎信息由/etc/issue,/etc/issue.net(远程登录)设定。 例如,文件内容为:

    悠扬前奏
  • Linux-Bash指令

    悠扬前奏
  • Linux-历史命令

    悠扬前奏
  • proxmox虚拟化

    Proxmox VE是一个完整的企业虚拟化开源平台。借助内置的Web界面,您可以轻松管理VM和容器,软件定义的存储和网络,高可用性集群以及单个解决方案上的多个开...

    晴天Online
  • npm install的代理问题

    我在windows的命令行里使用命令npm install jsdom想安装jsdom时,遇到如下错误:

    Jerry Wang
  • Linux-Shell脚本

    shift命令可以造成参数变量,拿掉前面那个参数。如果加上数字作为参数的话,可以拿掉最前面的n个参数。 例子:

    悠扬前奏
  • 生物信息 awk 简明教程和基本用法

    awk 是处理文本文件的一个应用程序,几乎所有的Linux以及MacOS都自带这个程序。

    黄树嘉

扫码关注云+社区

领取腾讯云代金券