clamav杀毒软件的安装

Linux Unix.Trojan.Elknot (Linux.BackDoor.Gates.5)木马清理

此恶意软件结合了传统后门程序和DDoS攻击木马的功能

前两天性能测试服务器被种马，cpu一直占用率90%以上，机器运行非常卡，同时也出现疯狂向外发包的现象，怀疑已被用做了ddos攻击的肉鸡。

出现以下几种异常现象：

1、用TOP可以查看到相关进程名：/usr/bin/bsd-port/agent  且用 ps -ef 无法查看到该进程号，当然也无法中止该进程。怀疑 ps 等部分文件也被感染于是从其它机器上分别传过来进行替换。

2、在/etc/init.d/目录下发现 seliunux 、iscsi、scsi、YbSecurityHdt 被感染的服务程序，同时为了使该木马程序开机自动启动，在/etc/rc.d/rc*.d/下面建立了几个软链接文件分别指向 seliunux 、iscsi、scsi、YbSecurityHdt 这几个文件。

3、在/etc/ssh/下发现  bashpa、sshpa 异常文件，应该是ssh后门相关的。分别chattr -i 后再删除之

删除相关不应有的软链接和服务脚本文件后，立即重启系统后正常。

参考资料：http://blog.csdn.net/liukeforever/article/details/38560363

-------------------------------------------------------------------------------------------------

一、概述　　

Linux比其它操作系统更稳定更安全。理论上Linux是有可能被病毒侵害的。但实际上 Linux机器几乎不可能遭受病毒的攻击。所以我这里的问题是为什么要为Linux准备防病毒软件，为了更好理解，我准备了以下理由，Linux平台安装杀毒软件的原因：1、从Linux平台扫描Windows驱动。2、通过网络扫描Windows工作站。3、在Linux服务器中扫描接收和发送的邮件。4、扫描发送给其它机器的重要文件。
     下面向你推荐最好的免费的Linux平台杀毒软件：1、ClamAV 杀毒。2、Avast Linux 家庭版。3、Avast Linux 家庭版。4、AVG 免费版杀毒。5、F-PROT 杀毒。

我们主要来介绍ClamAV 杀毒：ClamAV 杀毒是Linux平台最受欢迎的杀毒软件，ClamAV属于免费开源产品，支持多种平台，如：Linux/Unix、MAC OS X、Windows、OpenVMS。ClamAV是基于病毒扫描的命令行工具，但同时也有支持图形界面的ClamTK工具。ClamAV主要用于邮件服务器扫描邮件。它有多种接口从邮件服务器扫描邮件，支持文件格式有如：ZIP、RAR、TAR、GZIP、BZIP2、HTML、DOC、PDF,、SIS CHM、RTF等等。ClamAV有自动的数据库更新器，还可以从共享库中运行。

编译ClamAV时应包括zlib库，用于压缩和解压缩函数。（下述为以clamav-0.97.6.tar.gz为例的编译安装和使用）

使用yum install clamav clamd clamav-update  -y   进行一键安装

#sed -i  '/^TCPAddr/{ s/127.0.0.1/0.0.0.0/g }'  /etc/clamd.d/scan.conf

#sed -i 's/^Example/#Example/' /etc/clamd.d/scan.conf ; sed -i 's/^Example/#Example/' /etc/freshclam.conf

二、系统环境

系统环境：centos 6.2

软件：

1、zlib-1.2.7.tar.gz

下载：wget http://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gz

2、clamav-0.97.6.tar.gz

下载：wget http://nchc.dl.sourceforge.net/project/clamav/clamav/0.97.6/clamav-0.97.6.tar.gz

三、安装

   1、zlib-1.2.7.tar.gz安装

    tar xvzf zlib-1.2.7.tar.gz
    #cd zlib-1.2.7
    #./configure
    #make && make install

2、添加用户组clamav和组成员clamav（注：在安装clamav-0.97.6.tar.gz前必须先添加用户）

# groupadd clamav
# useradd -g clamav -s /bin/false -c "Clam AntiVirus" clamav

3、clamav-0.97.6.tar.gz

#tar xvzf clamav-0.97.6.tar.gz
#cd clamav-0.97.6

# ./configure --prefix=/opt/clamav  --disable-clamav
# make
#make install

四、配置

　　1、创建目录

mkdir /opt/clamav/logs       (日志存放目录)
mkdir /opt/clamav/updata   (clanav 病毒库目录)

　　2、创建文件

在/var/log目录下添加两个logs文件：clamd.log和freshclam.log，将所有者改为新加的clamav用户，并设置相应的文件读写权限

#touch /opt/clamav/logs/freshclam.log
#touch /opt/clamav/logs/clamd.log

3、配置/etc/clam.conf文件

#cd /opt/clamav
#vi etc/clamd.conf

　　# Example 注释掉这一行. 第8 行　　

TCPAddr 127.0.0.1                                     改成 0.0.0.0
     　　 LogFile /opt/clamav/logs/clamd.log              删掉前面的注释目录改为logs下面 第14行
　　　　PidFile /opt/clamav/updata/clamd.pid           删掉前面的注释路径改一下 第57行
　　　　DatabaseDirectory /opt/clamav/updata 同上 第65行

4、配置freshclam.conf文件

#vi etc/freshclam.conf

　　#Example 注释掉这一行
　　DatabaseDirectory /opt/clamav/updata
　　UpdateLogFile /opt/clamav/logs/freshclam.log
　　PidFile /opt/clamav/updata/freshclam.pid

5、文件授权

#chown clamav:clamav /opt/clamav/logs/freshclam.log
#chown clamav:clamav /opt/clamav/logs/clamd.log
#chown clamav:clamav /opt/clamav/updata

五、执行

　　1、升级

#/opt/clamav/bin/freshclam        (升级病毒库) 

2、杀毒

#ln -s /opt/clamav/bin/*  /usr/local/sbin/
#clamscan        --查杀当前目录下的文件
#clamscan -r     --查杀当前目录的所有文件及目录 
#clamscan dir    --查杀dir目录 
#clamscan -r dir --查杀目录dir下的所有文件及目录
#/opt/clamav/bin/clamscan --remove  --扫描到感染文件后直接删除
#/opt/clamav/bin/clamscan -l /*.log --保存扫描日志

3、帮助

#/opt/clamav/bin/clamscan --help  

六、自动更新

freshclam的自动更新
后台运行freshclam：
# freshclam -d
还可以使用cron后台自动定时运行freshclam：将下述行加到crontab中：
N * * * * /opt/bin/freshclam --quiet
(其中，N是-3-57之间的数据，表示每隔N个小时检查更新病毒数据库)

一般使用计划任务，让服务器每天晚上定时跟新和定时杀毒。保存杀毒日志，我的crontab文件如下

1  3  * * *          /usr/local/clamav/bin/freshclam --quiet
20 3  * * *          /usr/local/clamav/bin/clamscan  -r /home  --remove -l /var/log/clamscan.log

参考资料：http://www.jb51.net/LINUXjishu/224647.html

               http://wiki.ubuntu.org.cn/ClamAV