Desafortunadamente tengo muy poca experiencia con Linux. Tenemos una instancia de Amazon que ejecuta Debian 7.6 y recibimos un mensaje de Amazon que decía que estábamos escaneando puertos. Con suerte, hemos detenido esto restringiendo el tráfico saliente a través de un grupo de seguridad de Amazon, pero como parte de la investigación realizamos:
sudo clamscan -r -i --bell
esto mostró la siguiente posible infección:
/var/lib/tomcat7/update_temporary: Unix.Trojan.Elknot ENCONTRADO
y puedo encontrar muy poco sobre esto (pero algunas cosas sobre ElkKnot con una K adicional, ¿son lo mismo?)
Las siguientes advertencias también aparecen varias veces en el resultado:
WARNING: Can't open file /sys/module/nfnetlink_log/uevent: Permission denied
LibClamAV Warning: fmap_readpage: pread fail: asked for 4094 bytes @ offset 2, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
Entonces mis preguntas son: ¿Cómo puedo saber si la infección reportada es genuina o un falso positivo? ¿Debería preocuparme por todas las advertencias de LibClamAV? ¿Son una indicación de que algo anda mal o de que Debian no está configurado correctamente?
Respuesta1
En cuanto a "¿Cómo puedo saber si... un positivo genuino o falso?"
Es posible que desee copiar el archivo (si es posible) a otro medio para probarlo con un escáner de virus que no sea ClamAV (si tiene dudas sobre la validez del resultado de Clam).
Alternativamente, si no está dispuesto a mover el archivo de una máquina a otra (es posible que desee que el archivo sea accesible en un servidor web) y pruebe con una utilidad de prueba de URL comohttps://www.virustotal.com/para ver si también confirma un acierto.
Obviamente, querrás revertir/eliminar cualquier archivo.
Si desea confirmar los programas que intentan realizar comunicaciones entrantes/salientes, intente esto...
netstat -tnp | awk '/:80 */ {split($NF,a,"/"); print a[2],a[1]}'
Tenga en cuenta que si el proceso se ejecuta con privilegios de root (y desafortunadamente es probable que así sea), deberá ejecutar el comando anterior con privilegios coincidentes para que se detecte el programa.