Leider habe ich sehr wenig Linux-Erfahrung. Wir haben eine Amazon-Instanz mit Debian 7.6 und haben eine Nachricht von Amazon erhalten, dass wir einen Port-Scan durchführen. Wir haben dies hoffentlich gestoppt, indem wir den ausgehenden Datenverkehr über eine Amazon-Sicherheitsgruppe eingeschränkt haben, aber im Rahmen der Untersuchung haben wir Folgendes ausgeführt:
sudo clamscan -r -i --bell
Dabei zeigte sich folgende mögliche Infektion:
/var/lib/tomcat7/update_temporary: Unix.Trojan.Elknot GEFUNDEN
und ich kann sehr wenig darüber finden (aber einiges über ElkKnot mit einem zusätzlichen K – ist das dasselbe?)
Die folgenden Warnungen erscheinen außerdem mehrfach in der Ausgabe:
WARNING: Can't open file /sys/module/nfnetlink_log/uevent: Permission denied
LibClamAV Warning: fmap_readpage: pread fail: asked for 4094 bytes @ offset 2, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
Meine Fragen sind also: Wie kann ich feststellen, ob die gemeldete Infektion echt oder ein falscher Befund ist? Sollten mich all die LibClamAV-Warnungen beunruhigen? Sind sie ein Hinweis darauf, dass etwas nicht stimmt oder dass Debian nicht richtig eingerichtet ist?
Antwort1
Was die Frage "Wie erkenne ich, ob ... ein echtes oder ein falsches Positiv?" angeht
Möglicherweise möchten Sie die Datei (falls möglich) auf ein anderes Medium kopieren, um sie mit einem anderen Virenscanner als ClamAV zu testen (wenn Sie Zweifel an der Gültigkeit der Clam-Ergebnisse haben).
Wenn Sie die Datei nicht von einem Rechner auf einen anderen verschieben möchten, können Sie die Datei auch auf einem Webserver zugänglich machen und mit einem URL-Testprogramm wiehttps://www.virustotal.com/um zu sehen, ob es auch einen Treffer bestätigt.
Natürlich möchten Sie alle Dateien wiederherstellen/löschen.
Wenn Sie eine Bestätigung der Programme wünschen, die eine eingehende/ausgehende Kommunikation versuchen, versuchen Sie Folgendes …
netstat -tnp | awk '/:80 */ {split($NF,a,"/"); print a[2],a[1]}'
Beachten Sie: Wenn der Prozess mit Root-Rechten ausgeführt wird – und das ist leider wahrscheinlich –, müssen Sie den obigen Befehl mit passenden Rechten ausführen, damit das Programm erkannt wird.