Löschen Sie gescannte Schadprogramme vollständig mit einem Befehl

Löschen Sie gescannte Schadprogramme vollständig mit einem Befehl

Autor: Tian Yi (formyz
)

Ein NFS-Server, der von mehreren Webprojekten gemeinsam genutzt wird. Diese Verzeichnisse umfassen PHP-Programme, Bilder, HTML-Seiten, von Benutzern hochgeladene Dokumente und Anhänge usw. Da einige Web-Frameworks alt sind und keine strengen Sicherheitsprüfungen für hochgeladene Dateien durchführen. Obwohl sich dieser NFS-Server in einem geschützten internen Netzwerk befindet, werden immer noch viele schädliche Dateien von Personen mit Hintergedanken hochgeladen. Der Programmierer wurde dringend aufgefordert, das Programm zu aktualisieren (Discuz
), und die Antwort war, dass die Aktualisierung programmgesteuert zu schwierig zu handhaben sei. Auf der Systemverwaltungsebene besteht die vorübergehende Maßnahme lediglich darin, die shadu
-Software zu installieren, das freigegebene Verzeichnis zu scannen und dann diese schädlichen Dateien zu löschen (wobei die Symptome, aber nicht die Grundursache behandelt werden).



Shared Storage NFS
wird auf Centos 7.9
mit einem Speicherplatz von 44T
und einem Nutzungsraum von 4,5T

bereitgestellt (wie in der Abbildung unten gezeigt), es gibt eine große Menge an Junk-Informationen das nicht bereinigt und archiviert wird.

Basierend auf früheren Erfahrungen und Nutzungsgewohnheiten haben wir uns entschieden, die Open-Source- und bekannte Sicherheitssoftware Clavam
auf Centos 7.9
einzusetzen, dem Hostsystem, auf dem sich der NFS

-Dienst befindet. Die offizielle Werbung lautet „ClamAV

“.

®

ist eine Open-Source-Antiviren-Engine zur Erkennung von Trojanern, Viren, Malware und anderen bösartigen Bedrohungen
“ – ClamAV®
ist eine Open-Source-Anti-Virtual-Engine zur Erkennung von Trojanern, Viren, Malware und anderen bösartigen Bedrohungen
“ Viren, Malware und andere bösartige Bedrohungen Ich weiß nicht, wann das Logo am Ende der offiziellen Website auf den Netzwerkgerätehersteller CISCO geändert wurde. Trotzdem ist Clamav derzeit Open Source, kostenlos und kann ohne Einschränkungen verwendet werden 7.9
gibt es mindestens 3 Methoden zum Bereitstellen und Installieren von Clamav

: RPM-Binärpaket, Binärquellcode und Online-Paketverwaltungstool „yum“

, wie in der Abbildung unten gezeigt.



Der einfachste und bequemste Weg, Clamav
unter Centos 7.9
bereitzustellen und zu installieren, ist „yum install
“. Versuchen Sie, „yum install clamav
“ in der Systembefehlszeile auszuführen.




Leider ist Clamav

nicht im Software-Repository enthalten und kann nicht korrekt auf dem System installiert werden. Versuchen Sie erneut, ein zusätzliches Software-Repository „epel-release“ hinzuzufügen, und führen Sie den Befehl „yum install epel-release

“ aus. Führen Sie dann weiterhin „yum list clamav

“ aus. Aus der Ausgabe können wir ersehen, dass die angehängte Warehouse-Liste bereits das Softwarepaket „clamav

“ enthält, wie in der Abbildung unten gezeigt.

Führen Sie den Befehl „yum install clamav“ für die formelle Installation aus. Zusätzlich zur Hauptsoftware Clamav

werden mehrere weitere abhängige Pakete zusammen installiert, wie in der folgenden Abbildung dargestellt.

Im Vergleich zur Installation aus Quellpaketen müssen die erforderlichen Abhängigkeiten nicht einzeln basierend auf der Fehlerausgabe während des Installationsprozesses installiert werden, was die Effizienz erheblich verbessert.

Die Bingdu-Bibliothek von Clamav, die zum ersten Mal installiert und bereitgestellt wird, ist relativ alt und verzögert. Es ist notwendig, die Bingdu-Signaturbibliothek unter der Systembefehlszeile zu aktualisieren, um das Auslassen der Scan-Identifikation zu reduzieren. Der Befehl zum Ausführen der Bingdu-Bibliotheksaktualisierung lautet „freshclam“ ohne Parameter oder Optionen. Der Ausführungsprozess und die Ausgabe sind in der folgenden Abbildung dargestellt.

Die
Bingdu
-Bibliothek ist bereits auf dem neuesten Stand. Um zu verhindern, dass die Verbindung zum SSH

-Remote-Terminal unterbrochen wird und der Scan unterbrochen wird, wird dringend empfohlen, den Scan auf dem „Bildschirm“ durchzuführen. Wenn Sie den Befehl „screen“ ausführen und die Meldung erscheint, dass der Befehl nicht existiert, verwenden Sie „yum install screen

“, um ihn zu installieren. Nach korrekter Ausführung des Befehls „screen

“ kehrt das System sofort zur Shell

-Eingabeaufforderung zurück. Geben Sie zu diesem Zeitpunkt offiziell den folgenden Befehl ein, um das mutmaßlich problematische freigegebene Verzeichnis vollständig zu scannen und die Ausgabe in der Protokolldatei „/var/“ aufzuzeichnen. log/clamscan. log“

.

clamscan -r /data -l /var/log/clamscan.log

Nach langem Warten dauerte es viele Tage, bis mein Scan abgeschlossen war. Überprüfen Sie die Scan-Protokolldatei, um festzustellen, ob schädliche Dateien vorhanden sind. Verwenden Sie den folgenden Befehl:

[root@nas wenku]# grep GEFUNDEN /var/log/clamscan.log

/data/cu/attachment/forum/201305/29/22155372jcjxtt0vfx2uk2.zip: Win.Trojan.IRCBot-785 GEFUNDEN

/data/cu/attachment/forum/201501/05/155857clzd9d10bwdpl3s0.zip: Unix.Trojan.Agent-37008 GEFUNDEN

/data/cu/attachment/forum/201501/10/2110526a6afrfrzvas2h25.zip: Win.Tool.Chopper-9839749-0 GEFUNDEN

/data/cu/attachment/forum/201501/10/210932qsy27wsnwazswagr.zip: Win.Tool.Chopper-9839749-0 GEFUNDEN

/data/cu/attachment/forum/201405/18/082512hhjnzummmnuu4i8i.zip: Unix.Dropper.Mirai-7338045-0 GEFUNDEN

/data/cu/attachment/forum/201205/11/084024426448y1bk6jmmb9.zip: Win.Trojan.SdBot-13589 GEFUNDEN

/data/cu/attachment/forum/201206/05/092231faffjiak6z3gkzqv.zip: Win.Malware.Aa93a15d-6745814-0 GEFUNDEN

/data/kong/blog/attach/attachment/201603/9/30229789_1457535724sulu.jpg: Win.Trojan.Generic-6584387-0 GEFUNDEN

……………….
Mehr weglassen………………………..

/data/wenku/App_Data/Documents/2012-03-10/7da3d2c7-6d16-44c2-aab1-e8a317716c15.txt: Dos.Trojan.Munga-4 GEFUNDEN

/data/wenku/App_Data/Documents/2014-02-17/4ed74e66-54d1-46b5-8a41-4915ced095a5.ppt: Xls.Trojan.Agent-36856 GEFUNDEN

/data/wenku/App_Data/Documents/2014-02-23/c5c1dfa6-9f04-4e53-b418-4d711ce5408d.ppt: Win.Exploit.Fnstenv_mov-1 GEFUNDEN

/data/wenku/App_Data/Documents/2014-07-15/ae2dfca5-ddef-4c41-8812-bcc5543415e1.txt: Legacy.Trojan.Agent-34669 GEFUNDEN

Es gibt insgesamt 500
mehr als 10 Datensätze mit dem Schlüsselwort „FOUND“ und die Verteilungspfade sind unregelmäßig. Diese verstreuten Schaddateien können nicht durch Löschen des Verzeichnisses verarbeitet werden. Wenn Sie eine nach der anderen entsprechend dem absoluten Pfad manuell löschen, ist dies ineffizient und fehleranfällig. Wenn auf diese Weise Tausende von schädlichen Dateien verteilt werden, ist es grundsätzlich unmöglich, sie einzeln manuell zu löschen.

Der Befehl „clamscan

“ selbst verfügt über die Option „--remove
“, um die gescannten Schaddateien direkt zu löschen. Dies wurde jedoch von den zuständigen Mitarbeitern nicht bestätigt und kann zu Kontroversen führen. Daher müssen diese problematischen Schaddateien dem zuständigen Personal zur Bestätigung vorgelegt werden. Erst wenn keine Einwände vorliegen, können sie verschoben oder gelöscht werden.

Beginnen Sie mit der von Clamav gescannten Protokolldatei

und verwenden Sie das Tool, um den vollständigen Pfad der schädlichen Datei zu extrahieren.

[root@nas wenku]#grep FOUND /var/log/clamscan.log |awk -F[:] ‘{print $1}’

/data/wenku/App_Data/Documents/2016-04-11/8fe8d01e-e752-4e52-80df-f202374b2b6d.doc

/data/wenku/App_Data/Documents/2016-04-11/03a14021-279f-45cd-83c5-b63076032c9e.doc

/data/wenku/App_Data/Documents/2016-04-11/c45ddc01-ec3d-4a54-b674-8c2082d76ce3.doc

/data/cu/attachment/forum/201305/29/22155372jcjxtt0vfx2uk2.zip

/data/cu/attachment/forum/201501/05/155857clzd9d10bwdpl3s0.zip

/data/cu/attachment/forum/201501/10/2110526a6afrfrzvas2h25.zip

/data/cu/attachment/forum/201501/10/210932qsy27wsnwazswagr.zip

/data/cu/attachment/forum/201405/18/082512hhjnzummmnuu4i8i.zip

/data/cu/attachment/forum/201205/11/084024426448y1bk6jmmb9.zip

/data/cu/attachment/forum/201206/05/092231faffjiak6z3gkzqv.zip

………………

Einige weglassen
…………………………………………

Im Vergleich zum Originalprotokoll wurden der Doppelpunkt „:

“ und alle nachfolgenden Felder entfernt. Fügen Sie nach diesem Befehl eine Pipeline hinzu und übergeben Sie Parameter mit „xargs
“, um alle gescannten schädlichen Dateien zu bereinigen, unabhängig davon, an welchen Pfad sie verteilt werden. Der vollständige Befehl lautet wie folgt.

grep FOUND /var/log/clamscan.log |awk -F[:] ‘{print $1}’|

Finden Sie nach der Ausführung zufällig die vollständigen Pfade mehrerer gescannter Schaddateien. Die Dateien sollten nicht existieren (

wie im Bild unten gezeigt)

, was bedeutet, dass das Skript korrekt ist und das Ergebnis ist, das wir erwartet haben.

Das obige ist der detaillierte Inhalt vonLöschen Sie gescannte Schadprogramme vollständig mit einem Befehl. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!