查杀linux服务器木马，定时查杀病毒并隔离

接收到了阿里云服务器的安全告警，主要文件是 /usr/bin/.sshd, /root/aa，使用以下三种方法解决

一. 使用clamav

(一）下载

下载方式：

（1）下载压缩文件：wget http://www.clamav.net/downloads/production/clamav-0.100.0.tar.gz

安装：tar -xvzf .tar.gz
给文件夹重命名: mv clamav-0.100.0 clamav

安装的目录是：/var/lib
如若没在这个目标，可对包进行移动：mv /…/clamav /var/lib

创建软链接

ln -s /usr/local/clamav/bin/freshclam /usr/local/sbin/freshclam

（2）apt下载

apt install clamav

（二）命令

clamscan [选项] [路径] [文件]

--quiet   使用安静模式，仅仅打印出错误信息

-i  仅仅打印被感染的文件

-d<文件> 以指定的文件作为病毒库，一代替默认的/var/clamav目录下的病毒库文件

-l <文件> 指定日志文件，以代替默认的/var/log/clamav/freshclam.log文件

-r 递归扫描，即扫描指定目录下的子目录

--move=<目录> 把感染病毒的文件移动到指定目录

--remove 删除感染病毒的文件

##扫描文件
clamscan targetfile
##递归扫描home目录，并且记录日志
clamscan -r -i /home  -l  /var/log/clamscan.log
##扫描过程中，只显示有问题的文件并且发出警报声音，
clamscan -r --bell -i /home/oicqzone
##递归扫描home目录，将病毒文件删除，并且记录日志
clamscan -r -i /home  --remove  -l /var/log/clamscan.log
##建议##扫描指定目录，然后将感染文件移动到指定目录，并记录日志
clamscan -r -i /home  --move=/opt/infected  -l /var/log/clamscan.log

(三）定时

在crontab中每日定时查杀病毒。将被感染的病毒放入/opt/infected中压缩隔离。

vim /usr/local/clamscan.sh

#! /bin/sh
today=`date +"%Y%m%d"`
mkdir /opt/infected/$today
clamscan -r -i / --exclude-dir=/sys --move=/opt/infected/$today -l /var/log/clamav/clamscan.log
cd /opt/infected
if ["`ls -A ${today}`" = ""];then
        echo "wu"
else
        echo "you"
        tar -cvf $today.tar $today
        bzip2 $today.tar
fi
rm -rf $today

crontab -e

SHELL = /bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
0 1 * * * freshclam
0 2 * * * sh /usr/local/clamscan.sh

二. 关闭进程后删除文件

1. 查找并删除进程

通过寻找进程后 关闭相应进程，然后删除该文件。

2. 查找并删除文件

find查找相应进文件后删除

可能与如下文件相关：

rm -rf /etc/rc.d/rc2.d/S97DbSecuritySpt

rm -rf /etc/rc.d/rc2.d/S99selinux

rm -rf /etc/rc.d/init.d/DbSecuritySpt

rm -rf /etc/rc.d/init.d/selinux

rm -rf /usr/bin/bsd-port

rm -rf /bin/unama   

rm -rf /usr/bin/.sshd

rm -rf /tmp/gates.lod

rm -rf /tmp/moni.lod

查找后逐一删除文件

root@iZuf6dhulytd0su8xgljlsZ:/etc# find . -name "*selinux*"
./init.d/selinux
./selinux
./rc2.d/S08selinux
./rc1.d/S08selinux
./rc4.d/S08selinux
./rc3.d/S08selinux
./rc5.d/S08selinux

逐一通过rm -f命令删除

find . -name "*Db*"

同样逐一删除 

三、创建加锁文件

阿里云报错/tmp/freebsd和/tmp/z存在恶意ip入侵，删除原文件后依旧会发来通知，且无法找到freebsd文件，为了防止木马死灰复燃，创建一个新文件后加锁，不知道有无效果。

vim /tmp/freebsd
chattr +i /tmp/freebsd

参考链接：https://blog.csdn.net/weixin_34166472/article/details/92338669

https://www.secpulse.com/archives/78371.html