Supprimez complètement les programmes nuisibles analysés avec une seule commande

Supprimez complètement les programmes nuisibles analysés avec une seule commande

Auteur : Tian Yi (formyz
)

Un serveur NFS
, partagé par plusieurs projets Web

. Ces répertoires incluent des programmes PHP
, des images, des pages HTML
, des documents et des pièces jointes téléchargés par les utilisateurs, etc. Parce que certains frameworks Web
sont anciens et n'effectuent pas de contrôles de sécurité stricts sur les fichiers téléchargés. Bien que ce serveur NFS
soit situé dans un réseau interne protégé, un grand nombre de fichiers malveillants sont toujours téléchargés par des personnes ayant des arrière-pensées. Il a été fortement demandé au programmeur de mettre à jour le programme (Discuz
), et la réponse a été que la mise à jour était trop difficile à gérer par programme. Au niveau de la gestion du système, la mesure temporaire consiste simplement à installer le logiciel shadu
, à analyser le répertoire partagé, puis à supprimer ces fichiers nuisibles (en traitant les symptômes mais pas la cause première).

Le stockage partagé NFS
est déployé sur Centos 7.9
, avec un espace de stockage de 44T
et un espace d'utilisation de 4,5T
(comme le montre la figure ci-dessous). En raison d'une gestion relativement laxiste, il existe une grande quantité d'informations indésirables. qui n'est pas nettoyé et archivé.

Sur la base de notre expérience passée et de nos habitudes d'utilisation, nous avons décidé de déployer le célèbre logiciel de sécurité open source Clavam
sur Centos 7.9
, le système hôte où se trouve le service NFS
. Sa promotion officielle est "
ClamAV

.

®
est un moteur antivirus open source pour détecter les chevaux de Troie, virus, logiciels malveillants et autres menaces malveillantes
» – ClamAV®
est un moteur anti-virtuel
open source pour détecter les chevaux de Troie, virus, logiciels malveillants et autres menaces malveillantes
» Virus, logiciels malveillants et autres menaces malveillantes. Je ne sais pas quand le logo en bas du site officiel a été remplacé par le fabricant d'équipement réseau CISCO. Néanmoins, Clamav est actuellement open source, gratuit et peut être utilisé sans restrictions. 7.9
, il existe au moins 3
méthodes pour déployer et installer Clamav
 : package binaire RPM
, code source binaire et outil de gestion de packages en ligne "yum"
, comme le montre la figure ci-dessous.

Le moyen le plus simple et le plus pratique de déployer et d'installer Clamav sous Centos 7.9

est "yum install

". Essayez d'exécuter "yum install clamav

" sur la ligne de commande du système. Le processus d'exécution et le résultat sont les suivants.

Malheureusement, Clamav n'est pas inclus dans le référentiel du logiciel et ne peut pas être installé correctement sur le système. Essayez à nouveau d'ajouter un référentiel de logiciels supplémentaire "epel-release

" et exécutez la commande "yum install epel-release

". Continuez ensuite à exécuter « yum list clamav

». À partir du résultat, nous pouvons voir que la liste d'entrepôts ci-jointe contient déjà le progiciel « clamav
», comme le montre la figure ci-dessous.




Exécutez la commande "yum install clamav

" pour une installation formelle. En plus du logiciel principal Clamav, il existe plusieurs autres packages dépendants installés ensemble, comme le montre la figure ci-dessous.

Par rapport à l'installation à partir des packages sources, il n'est pas nécessaire d'installer les dépendances requises une par une en fonction de l'erreur générée lors du processus d'installation, ce qui améliore considérablement l'efficacité.

La bibliothèque bingdu

de Clamav

qui est installée et déployée pour la première fois est relativement ancienne et en retard. Il est nécessaire de mettre à jour la bibliothèque de signatures bingdu

sous la ligne de commande du système pour réduire l'omission de l'identification par numérisation. La commande pour exécuter la mise à jour de la bibliothèque bingdu

est "freshclam

" sans aucun paramètre ni option. Le processus d'exécution et le résultat sont illustrés dans la figure ci-dessous.



La bibliothèque
Bingdu

est déjà la dernière en date. Avant d'exécuter officiellement le scan, afin d'éviter que le terminal distant SSH ne soit déconnecté et provoque l'interruption du scan, il est fortement recommandé d'effectuer le scan sur "screen

". Si vous exécutez la commande "screen

" et qu'elle vous indique que la commande n'existe pas, utilisez "yum install screen

" pour l'installer. Après avoir exécuté correctement la commande « screen
», le système revient immédiatement à l'invite Shell
. À ce stade, entrez formellement la commande suivante pour analyser complètement le répertoire partagé suspecté d'être problématique et enregistrez la sortie dans le fichier journal « /var/ ». journal/clamscan. journal »
.

clamscan -r /data -l /var/log/clamscan.log

Après une longue attente, mon analyse a pris plusieurs jours. Vérifiez le fichier journal d'analyse pour voir s'il contient des fichiers malveillants. Utilisez la commande suivante :

[root@nas wenku]# grep FOUND /var/log/clamscan.log

/data/cu/attachment/forum/201305/29/22155372jcjxtt0vfx2uk2.zip : Win.Trojan.IRCBot-785 TROUVÉ

/data/cu/attachment/forum/201501/05/155857clzd9d10bwdpl3s0.zip : Unix.Trojan.Agent-37008 TROUVÉ

/data/cu/attachment/forum/201501/10/2110526a6afrfrzvas2h25.zip : Win.Tool.Chopper-9839749-0 TROUVÉ

/data/cu/attachment/forum/201501/10/210932qsy27wsnwazswagr.zip : Win.Tool.Chopper-9839749-0 TROUVÉ

/data/cu/attachment/forum/201405/18/082512hhjnzummmnuu4i8i.zip : Unix.Dropper.Mirai-7338045-0 TROUVÉ

/data/cu/attachment/forum/201205/11/084024426448y1bk6jmmb9.zip : Win.Trojan.SdBot-13589 TROUVÉ

/data/cu/attachment/forum/201206/05/092231faffjiak6z3gkzqv.zip : Win.Malware.Aa93a15d-6745814-0 TROUVÉ

/data/kong/blog/attach/attachment/201603/9/30229789_1457535724sulu.jpg : Win.Trojan.Generic-6584387-0 TROUVÉ

……………….
Omettre plus………………………..

/data/wenku/App_Data/Documents/2012-03-10/7da3d2c7-6d16-44c2-aab1-e8a317716c15.txt : Dos.Trojan.Munga-4 TROUVÉ

/data/wenku/App_Data/Documents/2014-02-17/4ed74e66-54d1-46b5-8a41-4915ced095a5.ppt : Xls.Trojan.Agent-36856 TROUVÉ

/data/wenku/App_Data/Documents/2014-02-23/c5c1dfa6-9f04-4e53-b418-4d711ce5408d.ppt : Win.Exploit.Fnstenv_mov-1 TROUVÉ

/data/wenku/App_Data/Documents/2014-07-15/ae2dfca5-ddef-4c41-8812-bcc5543415e1.txt : Legacy.Trojan.Agent-34669 TROUVÉ

Il y a un total de 500
plus de 10 enregistrements avec le mot-clé « FOUND
», et les chemins de distribution sont irréguliers. Ces fichiers malveillants dispersés ne peuvent pas être traités en supprimant le répertoire. Si vous supprimez manuellement un par un selon le chemin absolu, cela est inefficace et sujet aux erreurs ; s'il existe des milliers de fichiers malveillants distribués de cette manière, il est fondamentalement impossible de les supprimer un par un manuellement.

La commande "clamscan
" elle-même a l'option "--remove
" pour supprimer directement les fichiers malveillants analysés, mais cela n'a pas été confirmé par le personnel concerné et peut susciter une controverse. Par conséquent, ces fichiers malveillants problématiques doivent être présentés au personnel concerné pour confirmation seulement après qu’il n’y ait aucune objection, ils peuvent être déplacés ou supprimés.

Partez du fichier journal analysé par Clamav
et utilisez l'outil pour extraire le chemin complet du fichier malveillant. Utilisez les instructions suivantes.

[root@nas wenku]#grep FOUND /var/log/clamscan.log |awk -F[:] '{print $1}'

/data/wenku/App_Data/Documents/2016-04-11/8fe8d01e-e752-4e52-80df-f202374b2b6d.doc

/data/wenku/App_Data/Documents/2016-04-11/03a14021-279f-45cd-83c5-b63076032c9e.doc

/data/wenku/App_Data/Documents/2016-04-11/c45ddc01-ec3d-4a54-b674-8c2082d76ce3.doc

/data/cu/attachment/forum/201305/29/22155372jcjxtt0vfx2uk2.zip

/data/cu/attachment/forum/201501/05/155857clzd9d10bwdpl3s0.zip

/data/cu/attachment/forum/201501/10/2110526a6afrfrzvas2h25.zip

/data/cu/attachment/forum/201501/10/210932qsy27wsnwazswagr.zip

/data/cu/attachment/forum/201405/18/082512hhjnzummmnuu4i8i.zip

/data/cu/attachment/forum/201205/11/084024426448y1bk6jmmb9.zip

/data/cu/attachment/forum/201206/05/092231faffjiak6z3gkzqv.zip

………………
Omettre certains
…………………………………………

Par rapport au journal d'origine, les deux points ":
" et tous les champs suivants ont été supprimés. Après cette commande, ajoutez un pipeline et transmettez les paramètres avec "xargs
" pour nettoyer tous les fichiers malveillants analysés, quel que soit le chemin vers lequel ils sont distribués. La commande complète est la suivante.

grep FOUND /var/log/clamscan.log |awk -F[:] '{print $1}'|

Après l'exécution, recherchez aléatoirement les chemins complets de plusieurs fichiers malveillants analysés. Les fichiers ne devraient pas exister (

comme le montre l'image ci-dessous)
, ce qui signifie que le script est correct et correspond au résultat attendu.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!