Linuxサーバーからマルウェアをスキャンして削除する方法

最初に、異常なネットワーク接続、不明なプロセス、疑わしいユーザーまたはスケジュールされたタスク、システムファイルの変更、ログの例外を確認します。 2.クラマブスキャンマルウェアをインストールして実行し、rkhunterとchkrootkitを使用してrootkitを検出します。 3.ファイル、文字列、統計、その他のコマンドを使用して疑わしいファイルを分析し、Virustotalを使用してプロセスのファイルとポートの職業を確認します。 4.悪意のあるプロセスの終了、悪意のあるファイルとスケジュールされたタスクの削除、システムの更新、パスワードの変更、不要なサービスとポートの閉鎖、自動更新の有効化、SSHキーログインの構成、FAIL2BANの展開。 5.特にrootkitが見つかった場合、システムが深刻に感染している場合、脅威が完全にクリアされるように、必要なスキャンデータをバックアップして再インストールする必要があります。

Linuxサーバーが侵害されているか、悪意のあるソフトウェアを実行していると思われる場合、すぐに作用することが不可欠です。デスクトップシステムとは異なり、Linuxサーバーは多くの場合、重要なサービスを実行し、マルウェアの検出と削除を優先度の高いタスクにします。マルウェアを効果的にスキャンして削除する方法は次のとおりです。

1.妥協の兆候を確認してください

スキャンを実行する前に、マルウェアまたは不正アクセスの一般的な指標を探します。

• 異常なネットワークアクティビティ： netstat -tulnpまたはss -tulnpを使用して、アクティブな接続をリストし、疑わしいアウトバウンド接続を特定します。
• 不明なプロセス： ps auxfまたはtopを実行して、実行中のプロセスを確認します。なじみのないまたは難読化された名前を探してください。
• 予期しないユーザーまたはCRONジョブ：不明なユーザーのために/etc/passwdをチェックし、 crontab -lおよびls /etc/cron.*でCronジョブをレビューします。
• 変更されたシステムバイナリ： rkhunterやchkrootkitなどのツールは、RootKitsが使用する交換されたバイナリ（ ls 、 ps ）を検出できます。
• log anomalies ：Review /var/log/auth.log on rhel）ログインの試みまたは予期し/var/log/secureルートログインの場合。

2.マルウェアスキャンツールをインストールして実行します

信頼できるオープンソースツールを使用して、システムをスキャンします。公式リポジトリからそれらをインストールします。

Clamav - 一般的なマルウェアスキャナー

Clamavは、マルウェア、トロイの木馬、およびフィッシングコンテンツの検出に広く使用されています。

 ＃clamavをインストールします
sudo apt update && sudo apt install clamav clamav -daemon -y＃debian/ubuntu
sudo yum install epel-release && sudo yum install clamav＃rhel/centos

＃ウイルスの定義を更新します
Sudo Freshclam

＃システム全体をスキャンします（ /proc、 /sys、 /devを除外してエラーを避けるため）
sudo clamscan -r -exclude -dir =^/proc -exclude_dir =^/sys -exclude_dir =^/dev/

＃感染したファイルを自動的に削除する（注意して使用）
sudo clamscan -r  -  remove -exclude_dir =^/proc -exclude_dir =^/sys -exclude_dir =^/dev/

注：Clamavは、ファイルサーバー上のWindowsマルウェアの方が効果的ですが、既知のLinuxの脅威をキャッチできます。

rkhunter - ルートキット検出

rootkitsはシステムの奥深くに隠れています。 rkhunterは、既知のルートキットの署名とシステムの異常をチェックします。

 ＃ インストール
sudo apt install rkhunter＃debian/ubuntu
sudo yumインストールrkhunter＃rhel/centos

＃テストを更新して実行します
sudo rkhunter -update
sudo rkhunter-チェック

＃/var/log/rkhunter.logでログを確認します

Chkrootkit - 軽量のルートキットスキャナー

ルートキットを検出するためのもう1つのツール。

 ＃インストールして実行します
sudo apt install chkrootkit
sudo chkrootkit

3.疑わしいファイルとプロセスを分析します

スキャンまたは手動チェックが疑わしいものを見つけた場合：

• ファイルを識別します： file /path/to/suspiciousタイプを確認します。
• 既知のマルウェアに対してハッシュを確認します。疑わしいファイル（安全な場合）をVirustotalにアップロードするか、それらにclamscanを使用します。
• 文字列で検査する： strings /path/to/file | head -20を実行します読み取り可能なテキストを表示するためにstrings /path/to/file | head -20にすることができます。
• ファイルの原点を確認します： statとls -laを使用して、作成/変更時間と所有権を確認します。
• 関連ファイルの検索： find / -name "*suspicious_pattern*" 2>/dev/nullを使用します。

プロセスが疑わしい場合：

• lsof -p <PID>を使用して、使用しているファイルとポートを確認します。
• ps aux | grep <PID>使用しますps aux | grep <PID>コマンドラインの引数を表示します。

4.マルウェアを取り外し、システムを強化します

マルウェアが識別されたら：

• 悪意のあるプロセスを殺す：

   Sudo Kill -9 <Pid>

• 悪意のあるファイルを削除します：

   sudo rm -f/path/to/マルウェア

• 悪意のあるクロンのジョブまたはスタートアップエントリを削除します。
  • crontab -eまたはcheck /etc/cron.d/編集
  • check /etc/rc.local services（ systemctl list-unit-files ）、およびinitスクリプト。

次に、後悔を防ぐための措置を講じます。

• システムを更新します：

   sudo apt upgrade && sudo apt autoremove＃debian/ubuntu
  sudo yum update＃rhel/centos

• ルートおよびユーザーアカウントのパスワードを変更します。
• 未使用のサービスを無効にし、不要なファイアウォールポートを閉鎖します。
• 可能な場合は、自動セキュリティの更新を有効にします。
• SSHキー認証を使用し、SSHを介してルートログインを無効にします。
• fail2banをインストールして、ブルートフォースの試みをブロックします。

---

5。再構築を検討してください（重度の感染症のベストプラクティス）

システムがクリーンであるかどうかがわからない場合、特にルートキットが検出された場合、最も安全なオプションは次のとおりです。

• 必須データのみをバックアップします（スキャン後）。
• OSをゼロから再インストールします。
• サービスとデータを慎重に復元します。

侵害されたシステムには、スキャナーが見落とされる隠された背景があるかもしれません。

---

Linuxサーバーのスキャンとクリーニングは、注意と検証が必要です。複数のツールを使用し、調査結果を検証し、セキュリティ硬化を優先します。疑わしい場合は、再構築してください。

以上がLinuxサーバーからマルウェアをスキャンして削除する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。