Диагностика предполагаемого трояна, о котором сообщает ClamAV [duplicate]
На этот вопрос уже есть ответ здесь:
- Как мне справиться со взломанным сервером? 13 ответов
К сожалению, у меня очень мало опыта в Linux. У нас есть экземпляр Amazon под управлением Debian 7.6, и мы получили сообщение от Amazon о сканировании портов. Мы надеемся остановить это, ограничив исходящий трафик через группу безопасности Amazon, но в рамках расследования мы запустили:
sudo clamscan -r -i --bell
это показало следующее возможное заражение:
/var/lib/tomcat7/update_temporary: Unix.Trojan.Elknot FOUND
и я могу найти очень мало информации об этом (но кое-что об ElkKnot с дополнительной буквой K - это одно и то же?)
Следующие предупреждения также появляются несколько раз в выводе:
WARNING: Can't open file /sys/module/nfnetlink_log/uevent: Permission denied
LibClamAV Warning: fmap_readpage: pread fail: asked for 4094 bytes @ offset 2, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
Итак, мои вопросы следующие: Как я могу определить, является ли сообщение о заражении настоящим или ложным срабатыванием? Стоит ли мне беспокоиться по поводу всех предупреждений LibClamAV? Являются ли они признаком чего-то неправильного или неправильной настройки Debian?
Что касается "Как я могу определить, подлинный или ложный положительный результат?"
Вы можете скопировать файл (если возможно) на другой носитель для проверки с помощью антивирусного сканера, отличного от ClamAV (если у вас есть сомнения относительно достоверности результата Clam).
В качестве альтернативы, если вы неохотно переместите файл с одного компьютера на другой - вы можете сделать файл доступным на веб-сервере - и протестируйте его с помощью утилиты проверки URL, например https://www.virustotal.com/ , чтобы убедиться, что он тоже подтверждает попадание.
Очевидно, вы захотите восстановить / удалить любые файлы.
Если вам нужно подтверждение программ, пытающихся установить входящую / исходящую связь - попробуйте это ...
netstat -tnp | awk '/:80 */ {split($NF,a,"/"); print a[2],a[1]}'
Обратите внимание, если процесс выполняется с привилегиями root - а это, к сожалению, вероятно, - вам необходимо выполнить указанная выше команда с соответствующими привилегиями для обнаруживаемой программы.