К сожалению, у меня очень мало опыта работы с Linux. У нас есть экземпляр Amazon, работающий под управлением Debian 7.6, и мы получили сообщение от Amazon о том, что мы сканируем порты. Мы надеемся остановить это, ограничив исходящий трафик через группу безопасности Amazon, но в рамках расследования мы запустили:
sudo clamscan -r -i --bell
это показало следующую возможную инфекцию:
/var/lib/tomcat7/update_temporary: Unix.Trojan.Elknot НАЙДЕНО
и я не могу найти об этом ничего (но кое-что о ElkKnot с дополнительной буквой «К» — это одно и то же?)
В выходных данных также несколько раз появляются следующие предупреждения:
WARNING: Can't open file /sys/module/nfnetlink_log/uevent: Permission denied
LibClamAV Warning: fmap_readpage: pread fail: asked for 4094 bytes @ offset 2, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
Итак, мои вопросы: как я могу определить, является ли сообщенное заражение подлинным или ложным? Стоит ли мне беспокоиться обо всех предупреждениях LibClamAV? Являются ли они признаком чего-то неладного или того, что Debian настроен неправильно?
решение1
Что касается вопроса «Как я могу определить, является ли результат... подлинным или ложноположительным?»
Вы можете скопировать файл (если это возможно) на другой носитель, чтобы проверить его с помощью антивирусного сканера, отличного от ClamAV (если у вас есть сомнения относительно достоверности результата Clam).
В качестве альтернативы, если вы не хотите переносить файл с одного компьютера на другой, вы можете сделать файл доступным на веб-сервере и протестировать его с помощью утилиты проверки URL, напримерhttps://www.virustotal.com/чтобы проверить, подтвердит ли это попадание.
Очевидно, вам захочется вернуть/удалить все файлы.
Если вы хотите получить подтверждение о программах, пытающихся осуществлять входящие/исходящие соединения, попробуйте это...
netstat -tnp | awk '/:80 */ {split($NF,a,"/"); print a[2],a[1]}'
Обратите внимание: если процесс запущен с правами root (а, к сожалению, скорее всего, так и есть), вам необходимо выполнить указанную выше команду с соответствующими правами, чтобы программа была обнаружена.