残念ながら、私は Linux の経験がほとんどありません。Debian 7.6 を実行している Amazon インスタンスがあり、Amazon からポート スキャン中であるというメッセージを受け取りました。Amazon セキュリティ グループ経由で送信トラフィックを制限することでこれを阻止できたと思いますが、調査の一環として、次の操作を実行しました。
sudo clamscan -r -i --bell
これにより、次の感染の可能性があることが示されました。
/var/lib/tomcat7/update_temporary: Unix.Trojan.Elknot が見つかりました
これについてはほとんど何も見つかりません (ただし、K が 1 つ多い ElkKnot に関する情報はいくつかあります。これらは同じものですか?)
次の警告も出力に複数回表示されます。
WARNING: Can't open file /sys/module/nfnetlink_log/uevent: Permission denied
LibClamAV Warning: fmap_readpage: pread fail: asked for 4094 bytes @ offset 2, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
そこで質問です。報告された感染が本物か誤検知かはどうすればわかりますか? LibClamAV の警告はすべて心配すべきでしょうか? それらは何か問題があることを示しているのでしょうか、それとも Debian が正しくセットアップされていないことを示しているのでしょうか?
答え1
「本物か偽陽性かをどのように見分ければいいのか?」
Clam の結果の妥当性に懸念がある場合、可能であればファイルを別のメディアにコピーして、ClamAV 以外のウイルス スキャナーでテストすることをお勧めします。
あるいは、ファイルをあるマシンから別のマシンに移動することに抵抗がある場合は、ファイルをWebサーバー上でアクセスできるようにし、次のようなURLテストユーティリティでテストすることもできます。https://www.virustotal.com/これもヒットを確認できるかどうかを確認します。
当然、すべてのファイルを元に戻す/削除する必要があります。
受信/送信通信を試行するプログラムを確認したい場合は、これを試してください...
netstat -tnp | awk '/:80 */ {split($NF,a,"/"); print a[2],a[1]}'
注意: プロセスがルート権限で実行されている場合 (残念ながらおそらくそうなっているでしょう)、プログラムを検出するには、一致する権限で上記のコマンドを実行する必要があります。