Padam sepenuhnya program berbahaya yang diimbas dengan satu arahan
Pengarang: Tian Yi (formyz
)
Pelayan NFS
, dikongsi oleh berbilang projek Web
. Direktori ini termasuk PHP
program, gambar, HTML
halaman, dokumen dan lampiran yang dimuat naik oleh pengguna, dsb. Kerana sesetengah rangka kerja Web
sudah lama dan tidak melakukan pemeriksaan keselamatan yang ketat pada fail yang dimuat naik Walaupun pelayan NFS
ini terletak dalam rangkaian dalaman yang dilindungi, sejumlah besar fail berniat jahat masih dimuat naik oleh orang yang mempunyai motif tersembunyi. Pengaturcara telah diminta untuk mengemas kini program (Discuz
), dan jawapannya ialah kemas kini itu terlalu sukar untuk dikendalikan secara pengaturcaraan. Dari peringkat pengurusan sistem, langkah sementara hanyalah memasang perisian shadu
, mengimbas direktori yang dikongsi, dan kemudian memadamkan fail berbahaya ini (merawat gejala tetapi bukan punca utama).
Storan kongsi NFS
digunakan pada Centos 7.9
, dengan ruang storan 44T
dan ruang penggunaan 4.5T
(seperti yang ditunjukkan dalam rajah di bawah, disebabkan pengurusan yang agak longgar, terdapat sejumlah besar maklumat sampah). yang tidak dibersihkan dan diarkibkan.
Berdasarkan pengalaman lalu dan tabiat penggunaan, kami memutuskan untuk menggunakan sumber terbuka dan perisian keselamatan terkenal Clavam
pada Centos 7.9
, sistem hos di mana perkhidmatan NFS
terletak "
ClamAV
®
ialah enjin antivirus sumber terbuka untuk mengesan trojan, virus, perisian hasad & ancaman jahat yang lain
”–ClamAV®
ialah enjin anti-Virtual
sumber terbuka untuk mengesan Trojan, virus, perisian hasad & ancaman jahat yang lain
” Virus, perisian hasad dan ancaman jahat yang lain Saya tidak tahu bila logo di bahagian bawah laman web rasmi telah ditukar kepada pengeluar peralatan rangkaian CISCO Walaupun begitu, Clamav pada masa ini adalah sumber terbuka, percuma dan boleh digunakan tanpa sekatan 7.9
, terdapat sekurang-kurangnya 3
kaedah untuk menggunakan dan memasang Clamav
: RPM
pakej binari, kod sumber binari dan alat pengurusan pakej dalam talian "yum"
, seperti yang ditunjukkan dalam rajah di bawah.
ialah "yum install
" Cuba jalankan "yum install clamav" pada baris arahan sistem Proses dan output adalah seperti berikut.
" sekali lagi dan arahan yang dilaksanakan ialah "yum install epel-release
". Kemudian teruskan melaksanakan "yum list clamav". Daripada output, kita dapat melihat bahawa senarai gudang yang dilampirkan sudah mengandungi pakej perisian "clamav
", seperti yang ditunjukkan dalam rajah di bawah.
Laksanakan arahan "yum install clamav
Berbanding dengan memasang daripada pakej sumber, tidak perlu memasang kebergantungan yang diperlukan satu demi satu berdasarkan output ralat semasa proses pemasangan, yang sangat meningkatkan kecekapan.
Perpustakaan bingdu
Clamav
yang dipasang dan digunakan buat kali pertama adalah agak lama dan ketinggalan. Ia adalah perlu untuk mengemas kini perpustakaan tandatangan bingdudi bawah baris arahan sistem untuk mengurangkan peninggalan pengenalan pengimbasan. Perintah untuk melaksanakan kemas kini perpustakaan bingdu
ialah "freshclam" tanpa sebarang parameter atau pilihan Proses pelaksanaan dan output ditunjukkan dalam rajah di bawah.
Perpustakaan
Bingdu
". Jika anda melaksanakan arahan "screen
" dan ia menggesa bahawa arahan itu tidak wujud, gunakan "yum install screen" untuk memasangnya. Selepas melaksanakan perintah "skrin
" dengan betul, sistem segera kembali ke gesaan Shell
Pada masa ini, masukkan secara rasmi perintah berikut untuk mengimbas sepenuhnya direktori kongsi yang disyaki bermasalah, dan merekodkan output ke fail log "/var/. log/clamscan log”
.
Setelah lama menunggu, imbasan saya mengambil masa beberapa hari untuk disiapkan. Semak fail log imbasan untuk melihat jika terdapat sebarang fail berniat jahat Gunakan arahan berikut:
Terdapat sejumlah 500
Arahan "clamscan
Mulakan daripada fail log yang diimbas oleh Clamav
Berbanding dengan log asal, titik bertindih ":
Selepas pelaksanaan, cari laluan penuh beberapa fail berniat jahat yang diimbas secara rawak ( |
Atas ialah kandungan terperinci Padam sepenuhnya program berbahaya yang diimbas dengan satu arahan. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!