불행히도 저는 Linux 경험이 거의 없습니다. Debian 7.6을 실행하는 Amazon 인스턴스가 있고 Amazon으로부터 포트 스캐닝 중이라는 메시지를 받았습니다. Amazon 보안 그룹을 통해 아웃바운드 트래픽을 제한하여 이를 중단할 수 있기를 바라지만 조사의 일환으로 다음을 실행했습니다.
sudo clamscan -r -i --bell
이는 다음과 같은 감염 가능성을 보여줍니다.
/var/lib/tomcat7/update_temporary: Unix.Trojan.Elknot FOUND
그리고 나는 이것에 대해 거의 찾을 수 없습니다. (그러나 추가 K가 있는 ElkKnot에 관한 일부 내용은 동일한 것입니까?)
다음 경고도 출력에 여러 번 나타납니다.
WARNING: Can't open file /sys/module/nfnetlink_log/uevent: Permission denied
LibClamAV Warning: fmap_readpage: pread fail: asked for 4094 bytes @ offset 2, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
그래서 제 질문은 다음과 같습니다. 보고된 감염이 진짜인지 거짓 양성인지 어떻게 알 수 있나요? 모든 LibClamAV 경고에 대해 걱정해야 합니까? 뭔가 잘못되었거나 데비안이 올바르게 설정되지 않았음을 나타내는 것입니까?
답변1
"진짜인지 위양성인지 어떻게 알 수 있나요?"
ClamAV 이외의 바이러스 스캐너로 테스트하기 위해 (가능한 경우) 파일을 다른 매체에 복사할 수 있습니다(Clam 결과의 유효성이 우려되는 경우).
또는 파일을 한 시스템에서 다른 시스템으로 이동하는 것을 꺼리는 경우 웹 서버에서 파일에 액세스할 수 있도록 하고 다음과 같은 URL 테스트 유틸리티를 사용하여 테스트할 수 있습니다.https://www.virustotal.com/그것도 히트를 확인하는지 확인합니다.
분명히 모든 파일을 되돌리거나 삭제하고 싶을 것입니다.
인바운드/아웃바운드 통신을 시도하는 프로그램을 확인하려면 다음을 시도하십시오.
netstat -tnp | awk '/:80 */ {split($NF,a,"/"); print a[2],a[1]}'
프로세스가 루트 권한으로 실행 중이고 불행하게도 그럴 가능성이 있는 경우 프로그램을 감지하려면 일치하는 권한을 사용하여 위 명령을 실행해야 합니다.