Infelizmente tenho muito pouca experiência em Linux. Temos uma instância da Amazon executando o Debian 7.6 e recebemos uma mensagem da Amazon dizendo que estávamos verificando portas. Esperamos ter impedido isso restringindo o tráfego de saída por meio de um grupo de segurança da Amazon, mas como parte da investigação executamos:
sudo clamscan -r -i --bell
isso mostrou a seguinte possível infecção:
/var/lib/tomcat7/update_temporary: Unix.Trojan.Elknot ENCONTRADO
e posso encontrar muito pouco sobre isso (mas algumas coisas sobre ElkKnot com um K extra - são a mesma coisa?)
Os seguintes avisos também aparecem diversas vezes na saída:
WARNING: Can't open file /sys/module/nfnetlink_log/uevent: Permission denied
LibClamAV Warning: fmap_readpage: pread fail: asked for 4094 bytes @ offset 2, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
Portanto, minhas perguntas são: como posso saber se a infecção relatada é genuína ou falsa positiva? Devo me preocupar com todos os avisos do LibClamAV? Eles são uma indicação de algo errado ou de que o Debian não está configurado corretamente?
Responder1
No que diz respeito a "Como posso saber se ... genuíno ou falso positivo?"
Você pode querer copiar o arquivo (se possível) para outra mídia para testar com um antivírus diferente do ClamAV (se você tiver dúvidas sobre a validade do resultado do Clam).
Alternativamente, se você estiver relutante em mover o arquivo de uma máquina para outra - você pode tornar o arquivo acessível em um servidor web - e testar com um utilitário de teste de URL comohttps://www.virustotal.com/para ver se também confirma um acerto.
Obviamente, você desejará reverter/excluir quaisquer arquivos.
Se desejar a confirmação dos programas que tentam comunicações de entrada/saída - tente isto...
netstat -tnp | awk '/:80 */ {split($NF,a,"/"); print a[2],a[1]}'
Observe que se o processo estiver sendo executado com privilégios de root - e infelizmente é provável que esteja - você precisará executar o comando acima com privilégios correspondentes para que o programa seja detectado.