Padam sepenuhnya program berbahaya yang diimbas dengan satu arahan

Padam sepenuhnya program berbahaya yang diimbas dengan satu arahan

Pengarang: Tian Yi (formyz
)

Pelayan NFS
, dikongsi oleh berbilang projek Web

. Direktori ini termasuk PHP
program, gambar, HTML
halaman, dokumen dan lampiran yang dimuat naik oleh pengguna, dsb. Kerana sesetengah rangka kerja Web
sudah lama dan tidak melakukan pemeriksaan keselamatan yang ketat pada fail yang dimuat naik Walaupun pelayan NFS
ini terletak dalam rangkaian dalaman yang dilindungi, sejumlah besar fail berniat jahat masih dimuat naik oleh orang yang mempunyai motif tersembunyi. Pengaturcara telah diminta untuk mengemas kini program (Discuz
), dan jawapannya ialah kemas kini itu terlalu sukar untuk dikendalikan secara pengaturcaraan. Dari peringkat pengurusan sistem, langkah sementara hanyalah memasang perisian shadu
, mengimbas direktori yang dikongsi, dan kemudian memadamkan fail berbahaya ini (merawat gejala tetapi bukan punca utama).

Storan kongsi NFS
digunakan pada Centos 7.9
, dengan ruang storan 44T
dan ruang penggunaan 4.5T
(seperti yang ditunjukkan dalam rajah di bawah, disebabkan pengurusan yang agak longgar, terdapat sejumlah besar maklumat sampah). yang tidak dibersihkan dan diarkibkan.

Berdasarkan pengalaman lalu dan tabiat penggunaan, kami memutuskan untuk menggunakan sumber terbuka dan perisian keselamatan terkenal Clavam
pada Centos 7.9
, sistem hos di mana perkhidmatan NFS
terletak "
ClamAV

®
ialah enjin antivirus sumber terbuka untuk mengesan trojan, virus, perisian hasad & ancaman jahat yang lain
”–ClamAV®
ialah enjin anti-Virtual
sumber terbuka untuk mengesan Trojan, virus, perisian hasad & ancaman jahat yang lain
” Virus, perisian hasad dan ancaman jahat yang lain Saya tidak tahu bila logo di bahagian bawah laman web rasmi telah ditukar kepada pengeluar peralatan rangkaian CISCO Walaupun begitu, Clamav pada masa ini adalah sumber terbuka, percuma dan boleh digunakan tanpa sekatan 7.9
, terdapat sekurang-kurangnya 3
kaedah untuk menggunakan dan memasang Clamav
: RPM
pakej binari, kod sumber binari dan alat pengurusan pakej dalam talian "yum"
, seperti yang ditunjukkan dalam rajah di bawah.

Cara termudah dan paling mudah untuk menggunakan dan memasang Clamav di bawah Centos 7.9

ialah "yum install

" Cuba jalankan "yum install clamav

" pada baris arahan sistem Proses dan output adalah seperti berikut.

Malangnya, Clamav tidak termasuk dalam repositori perisian dan tidak boleh dipasang dengan betul pada sistem. Cuba tambahkan repositori perisian tambahan "epel-release

" sekali lagi dan arahan yang dilaksanakan ialah "yum install epel-release

". Kemudian teruskan melaksanakan "yum list clamav

". Daripada output, kita dapat melihat bahawa senarai gudang yang dilampirkan sudah mengandungi pakej perisian "clamav
", seperti yang ditunjukkan dalam rajah di bawah.




Laksanakan arahan "yum install clamav

" untuk pemasangan rasmi. Selain perisian utama Clamav, terdapat beberapa pakej bergantung lain yang dipasang bersama, seperti yang ditunjukkan dalam rajah di bawah.

Berbanding dengan memasang daripada pakej sumber, tidak perlu memasang kebergantungan yang diperlukan satu demi satu berdasarkan output ralat semasa proses pemasangan, yang sangat meningkatkan kecekapan.

Perpustakaan bingdu

Clamav

yang dipasang dan digunakan buat kali pertama adalah agak lama dan ketinggalan. Ia adalah perlu untuk mengemas kini perpustakaan tandatangan bingdu

di bawah baris arahan sistem untuk mengurangkan peninggalan pengenalan pengimbasan. Perintah untuk melaksanakan kemas kini perpustakaan bingdu

ialah "freshclam

" tanpa sebarang parameter atau pilihan Proses pelaksanaan dan output ditunjukkan dalam rajah di bawah.



Perpustakaan
Bingdu

adalah yang terkini Sebelum melaksanakan imbasan secara rasmi, untuk mengelakkan terminal jauh SSH daripada terputus dan menyebabkan imbasan terganggu, adalah amat disyorkan untuk melakukan imbasan pada "skrin

". Jika anda melaksanakan arahan "screen

" dan ia menggesa bahawa arahan itu tidak wujud, gunakan "yum install screen

" untuk memasangnya. Selepas melaksanakan perintah "skrin
" dengan betul, sistem segera kembali ke gesaan Shell
Pada masa ini, masukkan secara rasmi perintah berikut untuk mengimbas sepenuhnya direktori kongsi yang disyaki bermasalah, dan merekodkan output ke fail log "/var/. log/clamscan log”
.

clamscan -r /data -l /var/log/clamscan.log

Setelah lama menunggu, imbasan saya mengambil masa beberapa hari untuk disiapkan. Semak fail log imbasan untuk melihat jika terdapat sebarang fail berniat jahat Gunakan arahan berikut:

[root@nas wenku]# grep DITEMUI /var/log/clamscan.log

/data/cu/attachment/forum/201305/29/22155372jcjxtt0vfx2uk2.zip: Win.Trojan.IRCBot-785 DITEMUI

/data/cu/attachment/forum/201501/05/155857clzd9d10bwdpl3s0.zip: Unix.Trojan.Agent-37008 DITEMUI

/data/cu/attachment/forum/201501/10/2110526a6afrfrzvas2h25.zip: Win.Tool.Chopper-9839749-0 DITEMUI

/data/cu/attachment/forum/201501/10/210932qsy27wsnwazswagr.zip: Win.Tool.Chopper-9839749-0 DITEMUI

/data/cu/attachment/forum/201405/18/082512hhjnzummmnuu4i8i.zip: Unix.Dropper.Mirai-7338045-0 DITEMUI

/data/cu/attachment/forum/201205/11/084024426448y1bk6jmmb9.zip: Win.Trojan.SdBot-13589 FUND

/data/cu/attachment/forum/201206/05/092231faffjiak6z3gkzqv.zip: Win.Malware.Aa93a15d-6745814-0 DITEMUI

/data/kong/blog/attach/attachment/201603/9/30229789_1457535724sulu.jpg: Win.Trojan.Generic-6584387-0 DITEMUI

……………….
Tinggalkan lagi………………………..

/data/wenku/App_Data/Documents/2012-03-10/7da3d2c7-6d16-44c2-aab1-e8a317716c15.txt: Dos.Trojan.Munga-4 DITEMUI

/data/wenku/App_Data/Documents/2014-02-17/4ed74e66-54d1-46b5-8a41-4915ced095a5.ppt: Xls.Trojan.Agent-36856 DITEMUI

/data/wenku/App_Data/Documents/2014-02-23/c5c1dfa6-9f04-4e53-b418-4d711ce5408d.ppt: Win.Exploit.Fnstenv_mov-1 DITEMUI

/data/wenku/App_Data/Documents/2014-07-15/ae2dfca5-ddef-4c41-8812-bcc5543415e1.txt: Legacy.Trojan.Agent-34669 FUND

Terdapat sejumlah 500
lebih daripada 10 rekod dengan kata kunci "FUNDA
", dan laluan pengedaran adalah tidak teratur ini yang bertaburan fail berniat jahat tidak boleh diproses dengan memadamkan direktori. Jika anda memadam secara manual satu demi satu mengikut laluan mutlak, ia tidak cekap dan terdedah kepada ralat jika terdapat beribu-ribu fail berniat jahat yang diedarkan dengan cara ini, pada dasarnya mustahil untuk memadamnya satu demi satu secara manual.

Arahan "clamscan
" itu sendiri mempunyai pilihan "--remove
" untuk memadam terus fail berniat jahat yang diimbas, tetapi ini belum disahkan oleh kakitangan yang berkaitan dan boleh menyebabkan kontroversi. Oleh itu, fail berniat jahat yang bermasalah ini perlu dikemukakan kepada kakitangan yang berkaitan untuk pengesahan Hanya selepas tiada bantahan boleh dialihkan atau dipadamkan.

Mulakan daripada fail log yang diimbas oleh Clamav
dan gunakan alat untuk mengekstrak laluan penuh fail berniat jahat Gunakan arahan berikut.

[root@nas wenku]#grep DITEMUI /var/log/clamscan.log |awk -F[:] ‘{print $1}’

/data/wenku/App_Data/Documents/2016-04-11/8fe8d01e-e752-4e52-80df-f202374b2b6d.doc

/data/wenku/App_Data/Documents/2016-04-11/03a14021-279f-45cd-83c5-b63076032c9e.doc

/data/wenku/App_Data/Documents/2016-04-11/c45ddc01-ec3d-4a54-b674-8c2082d76ce3.doc

/data/cu/attachment/forum/201305/29/22155372jcjxtt0vfx2uk2.zip

/data/cu/attachment/forum/201501/05/155857clzd9d10bwdpl3s0.zip

/data/cu/attachment/forum/201501/10/2110526a6afrfrzvas2h25.zip

/data/cu/attachment/forum/201501/10/210932qsy27wsnwazswagr.zip

/data/cu/attachment/forum/201405/18/082512hhjnzummmnuu4i8i.zip

/data/cu/attachment/forum/201205/11/084024426448y1bk6jmmb9.zip

/data/cu/attachment/forum/201206/05/092231faffjiak6z3gkzqv.zip

………………
Tinggalkan beberapa
…………………………………………

Berbanding dengan log asal, titik bertindih ":
" dan semua medan seterusnya telah dialih keluar. Selepas arahan ini, tambah saluran paip dan lulus parameter dengan "xargs
" untuk membersihkan semua fail berniat jahat yang diimbas, tidak kira ke laluan mana ia diedarkan Perintah lengkapnya adalah seperti berikut.

grep DITEMUI /var/log/clamscan.log |awk -F[:] ‘{print $1}’| xargs rm -rf

Selepas pelaksanaan, cari laluan penuh beberapa fail berniat jahat yang diimbas secara rawak (
seperti yang ditunjukkan dalam gambar di bawah)
, yang bermaksud skrip adalah betul dan merupakan hasil yang kami jangkakan.

Atas ialah kandungan terperinci Padam sepenuhnya program berbahaya yang diimbas dengan satu arahan. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!