-
Notifications
You must be signed in to change notification settings - Fork 18
harden server anti virus
DreamAndDead edited this page Aug 24, 2017
·
5 revisions
很多人说linux系统相比windows要安全,病毒和木马都会比较少,这种论断是没有什么根据的
参见 在251中木马的一次经历 linux下gates病毒,虽然不是自己的博客,但是所有症状都是一样的
感染病毒的方式多种多样,主动防范过于繁琐,被动地进行周期性检测查杀也是不错的策略
使用clamav
clamav,开源社区经验积累的病毒扫描工具
安装
sudo apt-get install clamav
安装之后会运行clamav-freshclam的服务,用于在后台更新病毒库。查看其状态
service clamav-freshclam status
很大程度更新会失败,修改配置文件/etc/clamav/freshclam.conf
# DatabaseMirror db.local.clamav.net
# 将local改为cn
DatabaseMirror db.cn.clamav.net
重启服务
service clamav-freshclam restart
更新库之后,进行全盘扫描(需要一些时间)
sudo clamscan -r --bell -i /
可以考虑将其加入cron,周期性进行扫描查杀
rootkit是入侵者常使用的工具包,存在rootkit就是一个危险的信号
使用 rkhunter
1 安装
sudo apt-get install rkhunter unhide
2 定制配置文件
sudo vi /etc/rkhunter.conf
配置一些关键的地方
# 出现错误警告时,保存log
COPY_LOG_ON_ERROR=1
# 不允许ssh以root登陆
ALLOW_SSH_ROOT_USER=no
# 不允许使用ssh-1协议
ALLOW_SSH_PROT_V1=0
# 不禁用某些test
#DISABLE_TESTS=.....
# 检测文件属性的包管理器工具
PKGMGR=DPKG
# 使用unhide
DISABLE_UNHIDE=0
检测配置是否有格式错误
sudo rkhunter -C
3 扫描
首先建立文件索引
sudo rkhunter --propupd
扫描系统
sudo rkhunter -c --sk --rwo --pkgmgr DPKG
最新扫描的结果会保存在日志文件/var/log/rkhunter.log,大部分情况下,会检测到部分[warning]。
stdout和日志文件中有对warning的详细解释。可能就是问题所在
vi /var/log/rkhunter.log
deb安装包包含了所有要安装文件的md5信息,通过它的检测,来判断当前系统安装的文件是否被恶意修改
工具
apt-get install debsums
首先清理缓存
apt-get clean
初始化md5信息
debsums_init
检测
debsums -cs
如果检测到恶意被篡改文件,强制安装进行恢复
apt-get -f install <pkg>
(可选)加入cron进行周期性检查
vi /etc/default/debsums
# 修改为
CRON_CHECK=weekly