Supprimez complètement les programmes nuisibles analysés avec une seule commande
Auteur : Tian Yi (formyz
)
Un serveur NFS
, partagé par plusieurs projets Web
. Ces répertoires incluent des programmes PHP
, des images, des pages HTML
, des documents et des pièces jointes téléchargés par les utilisateurs, etc. Parce que certains frameworks Web
sont anciens et n'effectuent pas de contrôles de sécurité stricts sur les fichiers téléchargés. Bien que ce serveur NFS
soit situé dans un réseau interne protégé, un grand nombre de fichiers malveillants sont toujours téléchargés par des personnes ayant des arrière-pensées. Il a été fortement demandé au programmeur de mettre à jour le programme (Discuz
), et la réponse a été que la mise à jour était trop difficile à gérer par programme. Au niveau de la gestion du système, la mesure temporaire consiste simplement à installer le logiciel shadu
, à analyser le répertoire partagé, puis à supprimer ces fichiers nuisibles (en traitant les symptômes mais pas la cause première).
Le stockage partagé NFS
est déployé sur Centos 7.9
, avec un espace de stockage de 44T
et un espace d'utilisation de 4,5T
(comme le montre la figure ci-dessous). En raison d'une gestion relativement laxiste, il existe une grande quantité d'informations indésirables. qui n'est pas nettoyé et archivé.
Sur la base de notre expérience passée et de nos habitudes d'utilisation, nous avons décidé de déployer le célèbre logiciel de sécurité open source Clavam
sur Centos 7.9
, le système hôte où se trouve le service NFS
. Sa promotion officielle est "
ClamAV
®
est un moteur antivirus open source pour détecter les chevaux de Troie, virus, logiciels malveillants et autres menaces malveillantes
» – ClamAV®
est un moteur anti-virtuel
open source pour détecter les chevaux de Troie, virus, logiciels malveillants et autres menaces malveillantes
» Virus, logiciels malveillants et autres menaces malveillantes. Je ne sais pas quand le logo en bas du site officiel a été remplacé par le fabricant d'équipement réseau CISCO. Néanmoins, Clamav est actuellement open source, gratuit et peut être utilisé sans restrictions. 7.9
, il existe au moins 3
méthodes pour déployer et installer Clamav
: package binaire RPM
, code source binaire et outil de gestion de packages en ligne "yum"
, comme le montre la figure ci-dessous.
est "yum install
". Essayez d'exécuter "yum install clamav" sur la ligne de commande du système. Le processus d'exécution et le résultat sont les suivants.
" et exécutez la commande "yum install epel-release
". Continuez ensuite à exécuter « yum list clamav ». À partir du résultat, nous pouvons voir que la liste d'entrepôts ci-jointe contient déjà le progiciel « clamav
», comme le montre la figure ci-dessous.
Exécutez la commande "yum install clamav
Par rapport à l'installation à partir des packages sources, il n'est pas nécessaire d'installer les dépendances requises une par une en fonction de l'erreur générée lors du processus d'installation, ce qui améliore considérablement l'efficacité.
La bibliothèque bingdu
de Clamav
qui est installée et déployée pour la première fois est relativement ancienne et en retard. Il est nécessaire de mettre à jour la bibliothèque de signatures bingdusous la ligne de commande du système pour réduire l'omission de l'identification par numérisation. La commande pour exécuter la mise à jour de la bibliothèque bingdu
est "freshclam" sans aucun paramètre ni option. Le processus d'exécution et le résultat sont illustrés dans la figure ci-dessous.
La bibliothèque
Bingdu
". Si vous exécutez la commande "screen
" et qu'elle vous indique que la commande n'existe pas, utilisez "yum install screen" pour l'installer. Après avoir exécuté correctement la commande « screen
», le système revient immédiatement à l'invite Shell
. À ce stade, entrez formellement la commande suivante pour analyser complètement le répertoire partagé suspecté d'être problématique et enregistrez la sortie dans le fichier journal « /var/ ». journal/clamscan. journal »
.
Après une longue attente, mon analyse a pris plusieurs jours. Vérifiez le fichier journal d'analyse pour voir s'il contient des fichiers malveillants. Utilisez la commande suivante :
Il y a un total de 500
La commande "clamscan
Partez du fichier journal analysé par Clamav
Par rapport au journal d'origine, les deux points ":
Après l'exécution, recherchez aléatoirement les chemins complets de plusieurs fichiers malveillants analysés. Les fichiers ne devraient pas exister ( comme le montre l'image ci-dessous) |
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!