记一次Linux服务器上查杀木马经历

最新推荐文章于 2024-08-09 13:46:48 发布

2401_83974173

最新推荐文章于 2024-08-09 13:46:48 发布

阅读量445

点赞数 7

分类专栏：程序员文章标签：服务器 linux 前端

本文链接：https://blog.csdn.net/2401_83974173/article/details/138322929

版权

程序员专栏收录该内容

140 篇文章 1 订阅

订阅专栏

Saving to: “zlib-1.2.7.tar.gz”

100%[=============================================================>] 560,351      287K/s   in 1.9s

2015-08-21 22:00:26 (287 KB/s) - “zlib-1.2.7.tar.gz” saved [560351/560351]

1、zlib-1.2.7.tar.gz安装

[root@LNX17 tmp]# tar xvzf zlib-1.2.7.tar.gz

[root@LNX17 tmp]# cd zlib-1.2.7

[root@LNX17 zlib-1.2.7]# ./configure

Checking for gcc...

Checking for shared library support...

Building shared library libz.so.1.2.7 with gcc.

Checking for off64_t... Yes.

Checking for fseeko... Yes.

Checking for strerror... Yes.

Checking for unistd.h... Yes.

Checking for stdarg.h... Yes.

Checking whether to use vs[n]printf() or s[n]printf()... using vs[n]printf().

Checking for vsnprintf() in stdio.h... Yes.

Checking for return value of vsnprintf()... Yes.

Checking for attribute(visibility) support... Yes.

Looking for a four-byte integer type... Found.

[root@LNX17 zlib-1.2.7]# make && make install

gcc -O3  -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -I. -c -o example.o test/example.c

gcc -O3  -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN   -c -o adler32.o adler32.c

gcc -O3  -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN   -c -o crc32.o crc32.c

gcc -O3  -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN   -c -o deflate.o deflate.c

gcc -O3  -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN   -c -o infback.o infback.c

gcc -O3  -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN   -c -o inffast.o inffast.c

gcc -O3  -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN   -c -o inflate.o inflate.c

gcc -O3  -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN   -c -o inftrees.o inftrees.c

gcc -O3  -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN   -c -o trees.o trees.c

gcc -O3  -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN   -c -o zutil.o zutil.c

gcc -O3  -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN   -c -o compress.o compress.c

gcc -O3  -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN   -c -o uncompr.o uncompr.c

gcc -O3  -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN   -c -o gzclose.o gzclose.c

gcc -O3  -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN   -c -o gzlib.o gzlib.c

gcc -O3  -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN   -c -o gzread.o gzread.c

gcc -O3  -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN   -c -o gzwrite.o gzwrite.c

ar rc libz.a adler32.o crc32.o deflate.o infback.o inffast.o inflate.o inftrees.o trees.o zutil.o compress.o uncompr.o gzclose.o gzlib.o gzread.o gzwrite.o

gcc -O3  -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o example example.o -L. libz.a

gcc -O3  -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -I. -c -o minigzip.o test/minigzip.c

gcc -O3  -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o minigzip minigzip.o -L. libz.a

gcc -O3  -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/adler32.o adler32.c

gcc -O3  -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/crc32.o crc32.c

gcc -O3  -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/deflate.o deflate.c

gcc -O3  -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/infback.o infback.c

gcc -O3  -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/inffast.o inffast.c

gcc -O3  -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/inflate.o inflate.c

gcc -O3  -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/inftrees.o inftrees.c

gcc -O3  -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/trees.o trees.c

gcc -O3  -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/zutil.o zutil.c

gcc -O3  -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/compress.o compress.c

gcc -O3  -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/uncompr.o uncompr.c

gcc -O3  -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/gzclose.o gzclose.c

gcc -O3  -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/gzlib.o gzlib.c

gcc -O3  -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/gzread.o gzread.c

gcc -O3  -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -DPIC -c -o objs/gzwrite.o gzwrite.c

gcc -shared -Wl,-soname,libz.so.1,--version-script,zlib.map -O3  -fPIC -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o libz.so.1.2.7 adler32.lo crc32.lo deflate.lo infback.lo inffast.lo inflate.lo inftrees.lo trees.lo zutil.lo compress.lo uncompr.lo gzclose.lo gzlib.lo gzread.lo gzwrite.lo  -lc

rm -f libz.so libz.so.1

ln -s libz.so.1.2.7 libz.so

ln -s libz.so.1.2.7 libz.so.1

gcc -O3  -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o examplesh example.o -L. libz.so.1.2.7

gcc -O3  -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o minigzipsh minigzip.o -L. libz.so.1.2.7

gcc -O3  -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -I. -D_FILE_OFFSET_BITS=64 -c -o example64.o test/example.c

gcc -O3  -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o example64 example64.o -L. libz.a

gcc -O3  -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -I. -D_FILE_OFFSET_BITS=64 -c -o minigzip64.o test/minigzip.c

gcc -O3  -D_LARGEFILE64_SOURCE=1 -DHAVE_HIDDEN -o minigzip64 minigzip64.o -L. libz.a

cp libz.a /usr/local/lib

chmod 644 /usr/local/lib/libz.a

cp libz.so.1.2.7 /usr/local/lib

chmod 755 /usr/local/lib/libz.so.1.2.7

cp zlib.3 /usr/local/share/man/man3

chmod 644 /usr/local/share/man/man3/zlib.3

cp zlib.pc /usr/local/lib/pkgconfig

chmod 644 /usr/local/lib/pkgconfig/zlib.pc

cp zlib.h zconf.h /usr/local/include

chmod 644 /usr/local/include/zlib.h /usr/local/include/zconf.h

2：添加用户组clamav和组成员clamav

[root@LNX17 zlib-1.2.7]# groupadd clamav

[root@LNX17 zlib-1.2.7]# useradd -g clamav -s /bin/false -c "Clam AntiVirus" clamav

[root@LNX17 zlib-1.2.7]#

3：安装Clamav-0.97.6

[root@LNX17 tmp]# tar xvzf clamav-0.97.6.tar.gz

[root@LNX17 tmp]# cd clamav-0.97.6

[root@LNX17 clamav-0.97.6]# ./configure --prefix=/opt/clamav  --disable-clamav

[root@LNX17 clamav-0.97.6]# make

[root@LNX17 clamav-0.97.6]# make install

配置Clamav

1：创建目录

[root@LNX17 clamav-0.97.6]# mkdir /opt/clamav/logs

[root@LNX17 clamav-0.97.6]# mkdir /opt/clamav/updata

2：创建文件

[root@LNX17 clamav-0.97.6]# touch /opt/clamav/logs/freshclam.log

[root@LNX17 clamav-0.97.6]# touch /opt/clamav/logs/clamd.log

[root@LNX17 clamav-0.97.6]#

[root@LNX17 clamav-0.97.6]# cd /opt/clamav/logs

[root@LNX17 clamav]# cd logs

[root@LNX17 logs]# ls

clamd.log  freshclam.log

[root@LNX17 logs]# ls -lrt

total 0

-rw-r--r--. 1 root root 0 Aug 21 22:10 freshclam.log

-rw-r--r--. 1 root root 0 Aug 21 22:10 clamd.log

3:修改属主

[root@LNX17 logs]# chown clamav:clamav clamd.log

[root@LNX17 logs]# chown clamav:clamav freshclam.log

[root@LNX17 logs]# ls -lrt

total 0

-rw-r--r--. 1 clamav clamav 0 Aug 21 22:10 freshclam.log

-rw-r--r--. 1 clamav clamav 0 Aug 21 22:10 clamd.log

[root@LNX17 logs]#

4：修改配置文件

#vi /opt/clamav

/etc/clam.conf

# Example 注释掉这一行. 第8 行

LogFile /opt/clamav/logs/clamd.log 删掉前面的注释目录改为/opt/clamav/logs/clamd.log

PidFile /opt/clamav/updata/clamd.pid 删掉前面的注释路径改为/opt/clamav/updata/clamd.pid

DatabaseDirectory /opt/clamav/updata 同上

#vi /opt/clamav

/etc/clamfreshclam.conf ，将Example 这一行注释掉。否则在更新反病毒数据库是就有可能出现下面错误

[root@LNX17 clamav]# /opt/clamav/bin/freshclam

ERROR: Please edit the example config file /opt/clamav/etc/freshclam.conf

ERROR: Can’t open/parse the config file /opt/clamav/etc/freshclam.conf

5：升级病毒库

[root@LNX17 etc]# /opt/clamav/bin/freshclam

ERROR: Can’t change dir to /opt/clamav/share/clamav

出现上面错误，直接创建一个文件夹并授权给clamav用户即可。

[root@LNX17 etc]# mkdir -p /opt/clamav/share/clamav

[root@LNX17 etc]# chown clamav:clamav /opt/clamav/share/clamav

[root@LNX17 etc]#

[root@LNX17 etc]# /opt/clamav/bin/freshclam

ClamAV update process started at Fri Aug 21 22:42:18 2015

WARNING: Your ClamAV installation is OUTDATED!

WARNING: Local version: 0.97.6 Recommended version: 0.98.7

DON'T PANIC! Read http://www.clamav.net/support/faq

nonblock_connect: connect timing out (30 secs)

Can't connect to port 80 of host database.clamav.net (IP: 211.239.150.206)

Trying host database.clamav.net (120.29.176.126)...

nonblock_recv: recv timing out (30 secs)

WARNING: getfile: Download interrupted: Operation now in progress (IP: 120.29.176.126)

WARNING: Can't download main.cvd from database.clamav.net

Trying again in 5 secs...

ClamAV update process started at Fri Aug 21 23:03:32 2015

WARNING: Your ClamAV installation is OUTDATED!

WARNING: Local version: 0.97.6 Recommended version: 0.98.7

DON'T PANIC! Read http://www.clamav.net/support/faq

Downloading main.cvd [100%]

main.cvd updated (version: 55, sigs: 2424225, f-level: 60, builder: neo)

Downloading daily.cvd [100%]

daily.cvd updated (version: 20817, sigs: 1537382, f-level: 63, builder: neo)

Downloading bytecode.cvd [100%]

bytecode.cvd updated (version: 268, sigs: 47, f-level: 63, builder: anvilleg)

Database updated (3961654 signatures) from database.clamav.net (IP: 219.94.128.99)

由于ClamAV不是最新版本，所以有告警信息。可以忽略或升级最新版本。病毒库需要定期升级，例如我第二天升级病毒库

[root@LNX17 ~]# /opt/clamav/bin/freshclam

ClamAV update process started at Mon Aug 24 10:10:25 2015

WARNING: Your ClamAV installation is OUTDATED!

WARNING: Local version: 0.97.6 Recommended version: 0.98.7

DON'T PANIC! Read http://www.clamav.net/support/faq

main.cvd is up to date (version: 55, sigs: 2424225, f-level: 60, builder: neo)

Downloading daily-20818.cdiff [100%]

Downloading daily-20819.cdiff [100%]

Downloading daily-20820.cdiff [100%]

Downloading daily-20821.cdiff [100%]

Downloading daily-20822.cdiff [100%]

Downloading daily-20823.cdiff [100%]

Downloading daily-20824.cdiff [100%]

Downloading daily-20825.cdiff [100%]

Downloading daily-20826.cdiff [100%]

Downloading daily-20827.cdiff [100%]

Downloading daily-20828.cdiff [100%]

Downloading daily-20829.cdiff [100%]

daily.cld updated (version: 20829, sigs: 1541624, f-level: 63, builder: neo)

bytecode.cvd is up to date (version: 268, sigs: 47, f-level: 63, builder: anvilleg)

Database updated (3965896 signatures) from database.clamav.net (IP: 203.178.137.175)

6：ClamAV 使用

可以使用/opt/clamav/bin/clamscan -h查看相应的帮助信息

· 扫描所有用户的主目录就使用 clamscan -r /home

· 扫描您计算机上的所有文件并且显示所有的文件的扫描结果，就使用 clamscan -r /

· 扫描您计算机上的所有文件并且显示有问题的文件的扫描结果，就使用 clamscan -r --bell -i /

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以点击这里获取！

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
00%]

Downloading daily-20829.cdiff [100%]

daily.cld updated (version: 20829, sigs: 1541624, f-level: 63, builder: neo)

bytecode.cvd is up to date (version: 268, sigs: 47, f-level: 63, builder: anvilleg)

Database updated (3965896 signatures) from database.clamav.net (IP: 203.178.137.175)




**6：ClamAV 使用**


可以使用/opt/clamav/bin/clamscan -h查看相应的帮助信息


[[外链图片转存中...(img-JVGWsqMM-1714389909111)]](http://images0.cnblogs.com/blog/73542/201508/241509038272254.png)  



· 扫描所有用户的主目录就使用 clamscan -r /home 


· 扫描您计算机上的所有文件并且显示所有的文件的扫描结果，就使用 clamscan -r / 


· 扫描您计算机上的所有文件并且显示有问题的文件的扫描结果，就使用 clamscan -r --bell -i / 



**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**[需要这份系统化的资料的朋友，可以点击这里获取！](https://bbs.csdn.net/topics/618542503)**

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**

2401_83974173

关注

7
点赞
踩
9

收藏

觉得还不错? 一键收藏
0
评论
记一次Linux服务器上查杀木马经历

PidFile /opt/clamav/updata/clamd.pid 删掉前面的注释路径改为/opt/clamav/updata/clamd.pid。LogFile /opt/clamav/logs/clamd.log 删掉前面的注释目录改为/opt/clamav/logs/clamd.log。· 扫描您计算机上的所有文件并且显示有问题的文件的扫描结果，就使用 clamscan -r --bell -i /可以使用/opt/clamav/bin/clamscan -h查看相应的帮助信息。
复制链接

扫一扫