Heim > Artikel > Computer-Tutorials > Löschen Sie gescannte Schadprogramme vollständig mit einem Befehl
Löschen Sie gescannte Schadprogramme vollständig mit einem Befehl
- WBOYnach vorne
- 2024-02-19 13:57:02858Durchsuche
Löschen Sie gescannte Schadprogramme vollständig mit einem Befehl
Autor: Tian Yi (formyz
)
Ein NFS-Server, der von mehreren Webprojekten gemeinsam genutzt wird. Diese Verzeichnisse umfassen PHP-Programme, Bilder, HTML-Seiten, von Benutzern hochgeladene Dokumente und Anhänge usw. Da einige Web-Frameworks alt sind und keine strengen Sicherheitsprüfungen für hochgeladene Dateien durchführen. Obwohl sich dieser NFS-Server in einem geschützten internen Netzwerk befindet, werden immer noch viele schädliche Dateien von Personen mit Hintergedanken hochgeladen. Der Programmierer wurde dringend aufgefordert, das Programm zu aktualisieren (Discuz
), und die Antwort war, dass die Aktualisierung programmgesteuert zu schwierig zu handhaben sei. Auf der Systemverwaltungsebene besteht die vorübergehende Maßnahme lediglich darin, die shadu
-Software zu installieren, das freigegebene Verzeichnis zu scannen und dann diese schädlichen Dateien zu löschen (wobei die Symptome, aber nicht die Grundursache behandelt werden).
Shared Storage NFS
wird auf Centos 7.9
mit einem Speicherplatz von 44T
und einem Nutzungsraum von 4,5T
Basierend auf früheren Erfahrungen und Nutzungsgewohnheiten haben wir uns entschieden, die Open-Source- und bekannte Sicherheitssoftware Clavam
auf Centos 7.9
einzusetzen, dem Hostsystem, auf dem sich der NFS
“.
® ist eine Open-Source-Antiviren-Engine zur Erkennung von Trojanern, Viren, Malware und anderen bösartigen Bedrohungen
“ – ClamAV®
ist eine Open-Source-Anti-Virtual-Engine zur Erkennung von Trojanern, Viren, Malware und anderen bösartigen Bedrohungen
“ Viren, Malware und andere bösartige Bedrohungen Ich weiß nicht, wann das Logo am Ende der offiziellen Website auf den Netzwerkgerätehersteller CISCO geändert wurde. Trotzdem ist Clamav derzeit Open Source, kostenlos und kann ohne Einschränkungen verwendet werden 7.9
gibt es mindestens 3 Methoden zum Bereitstellen und Installieren von Clamav
, wie in der Abbildung unten gezeigt.
Der einfachste und bequemste Weg, Clamav
unter Centos 7.9
bereitzustellen und zu installieren, ist „yum install
“. Versuchen Sie, „yum install clamav
“ in der Systembefehlszeile auszuführen.
Leider ist Clamav
“ aus. Führen Sie dann weiterhin „yum list clamav
“ aus. Aus der Ausgabe können wir ersehen, dass die angehängte Warehouse-Liste bereits das Softwarepaket „clamav“ enthält, wie in der Abbildung unten gezeigt.
werden mehrere weitere abhängige Pakete zusammen installiert, wie in der folgenden Abbildung dargestellt.
Im Vergleich zur Installation aus Quellpaketen müssen die erforderlichen Abhängigkeiten nicht einzeln basierend auf der Fehlerausgabe während des Installationsprozesses installiert werden, was die Effizienz erheblich verbessert.
Die
Bingdu
-Bibliothek ist bereits auf dem neuesten Stand. Um zu verhindern, dass die Verbindung zum SSH
“, um ihn zu installieren. Nach korrekter Ausführung des Befehls „screen
“ kehrt das System sofort zur Shell-Eingabeaufforderung zurück. Geben Sie zu diesem Zeitpunkt offiziell den folgenden Befehl ein, um das mutmaßlich problematische freigegebene Verzeichnis vollständig zu scannen und die Ausgabe in der Protokolldatei „/var/“ aufzuzeichnen. log/clamscan. log“
.
clamscan -r /data -l /var/log/clamscan.log
Nach langem Warten dauerte es viele Tage, bis mein Scan abgeschlossen war. Überprüfen Sie die Scan-Protokolldatei, um festzustellen, ob schädliche Dateien vorhanden sind. Verwenden Sie den folgenden Befehl:
|
[root@nas wenku]# grep GEFUNDEN /var/log/clamscan.log /data/cu/attachment/forum/201305/29/22155372jcjxtt0vfx2uk2.zip: Win.Trojan.IRCBot-785 GEFUNDEN /data/cu/attachment/forum/201501/05/155857clzd9d10bwdpl3s0.zip: Unix.Trojan.Agent-37008 GEFUNDEN /data/cu/attachment/forum/201501/10/2110526a6afrfrzvas2h25.zip: Win.Tool.Chopper-9839749-0 GEFUNDEN /data/cu/attachment/forum/201501/10/210932qsy27wsnwazswagr.zip: Win.Tool.Chopper-9839749-0 GEFUNDEN /data/cu/attachment/forum/201405/18/082512hhjnzummmnuu4i8i.zip: Unix.Dropper.Mirai-7338045-0 GEFUNDEN /data/cu/attachment/forum/201205/11/084024426448y1bk6jmmb9.zip: Win.Trojan.SdBot-13589 GEFUNDEN /data/cu/attachment/forum/201206/05/092231faffjiak6z3gkzqv.zip: Win.Malware.Aa93a15d-6745814-0 GEFUNDEN /data/kong/blog/attach/attachment/201603/9/30229789_1457535724sulu.jpg: Win.Trojan.Generic-6584387-0 GEFUNDEN ………………. /data/wenku/App_Data/Documents/2012-03-10/7da3d2c7-6d16-44c2-aab1-e8a317716c15.txt: Dos.Trojan.Munga-4 GEFUNDEN /data/wenku/App_Data/Documents/2014-02-17/4ed74e66-54d1-46b5-8a41-4915ced095a5.ppt: Xls.Trojan.Agent-36856 GEFUNDEN /data/wenku/App_Data/Documents/2014-02-23/c5c1dfa6-9f04-4e53-b418-4d711ce5408d.ppt: Win.Exploit.Fnstenv_mov-1 GEFUNDEN /data/wenku/App_Data/Documents/2014-07-15/ae2dfca5-ddef-4c41-8812-bcc5543415e1.txt: Legacy.Trojan.Agent-34669 GEFUNDEN |
Es gibt insgesamt 500
mehr als 10 Datensätze mit dem Schlüsselwort „FOUND“ und die Verteilungspfade sind unregelmäßig. Diese verstreuten Schaddateien können nicht durch Löschen des Verzeichnisses verarbeitet werden. Wenn Sie eine nach der anderen entsprechend dem absoluten Pfad manuell löschen, ist dies ineffizient und fehleranfällig. Wenn auf diese Weise Tausende von schädlichen Dateien verteilt werden, ist es grundsätzlich unmöglich, sie einzeln manuell zu löschen.
Der Befehl „clamscan
“ selbst verfügt über die Option „--remove
“, um die gescannten Schaddateien direkt zu löschen. Dies wurde jedoch von den zuständigen Mitarbeitern nicht bestätigt und kann zu Kontroversen führen. Daher müssen diese problematischen Schaddateien dem zuständigen Personal zur Bestätigung vorgelegt werden. Erst wenn keine Einwände vorliegen, können sie verschoben oder gelöscht werden.
Beginnen Sie mit der von Clamav gescannten Protokolldatei
und verwenden Sie das Tool, um den vollständigen Pfad der schädlichen Datei zu extrahieren.
| [root@nas wenku]#grep FOUND /var/log/clamscan.log |awk -F[:] ‘{print $1}’ /data/wenku/App_Data/Documents/2016-04-11/8fe8d01e-e752-4e52-80df-f202374b2b6d.doc /data/wenku/App_Data/Documents/2016-04-11/03a14021-279f-45cd-83c5-b63076032c9e.doc /data/wenku/App_Data/Documents/2016-04-11/c45ddc01-ec3d-4a54-b674-8c2082d76ce3.doc /data/cu/attachment/forum/201305/29/22155372jcjxtt0vfx2uk2.zip /data/cu/attachment/forum/201501/05/155857clzd9d10bwdpl3s0.zip /data/cu/attachment/forum/201501/10/2110526a6afrfrzvas2h25.zip /data/cu/attachment/forum/201501/10/210932qsy27wsnwazswagr.zip /data/cu/attachment/forum/201405/18/082512hhjnzummmnuu4i8i.zip /data/cu/attachment/forum/201205/11/084024426448y1bk6jmmb9.zip /data/cu/attachment/forum/201206/05/092231faffjiak6z3gkzqv.zip ……………… Einige weglassen |
Im Vergleich zum Originalprotokoll wurden der Doppelpunkt „:
“ und alle nachfolgenden Felder entfernt. Fügen Sie nach diesem Befehl eine Pipeline hinzu und übergeben Sie Parameter mit „xargs
“, um alle gescannten schädlichen Dateien zu bereinigen, unabhängig davon, an welchen Pfad sie verteilt werden. Der vollständige Befehl lautet wie folgt.
| grep FOUND /var/log/clamscan.log |awk -F[:] ‘{print $1}’|
|
Finden Sie nach der Ausführung zufällig die vollständigen Pfade mehrerer gescannter Schaddateien. Die Dateien sollten nicht existieren (
wie im Bild unten gezeigt), was bedeutet, dass das Skript korrekt ist und das Ergebnis ist, das wir erwartet haben.
Das obige ist der detaillierte Inhalt vonLöschen Sie gescannte Schadprogramme vollständig mit einem Befehl. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!