Диагностика предполагаемого трояна, о котором сообщает ClamAV
К сожалению, у меня очень мало опыта работы с Linux. У нас есть экземпляр Amazon с Debian 7.6, и мы получили сообщение от Amazon, в котором говорится, что мы сканируем порты. Надеемся, что мы остановили это, ограничив исходящий трафик через группу безопасности Amazon, но в рамках расследования мы провели:
sudo clamscan -r -i --bell
это показало следующую возможную инфекцию:
/ var / lib / tomcat7 / update_tevent: Unix.Trojan.Elknot НАЙДЕНО
и я могу найти очень мало об этом (но кое-что о ElkKnot с дополнительным K - это одно и то же?)
Следующие предупреждения также появляются несколько раз в выходных данных:
WARNING: Can't open file /sys/module/nfnetlink_log/uevent: Permission denied
LibClamAV Warning: fmap_readpage: pread fail: asked for 4094 bytes @ offset 2, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
Итак, мои вопросы: как я могу определить, является ли заявленная инфекция подлинной или ложноположительной? Должен ли я беспокоиться обо всех предупреждениях LibClamAV? Являются ли они признаком того, что что-то не так, или Debian настроен неправильно?
1 ответ
Насколько "Как я могу сказать, является ли... подлинным или ложным положительным?"
Возможно, вы захотите скопировать файл (если возможно) на другой носитель для тестирования с помощью антивирусного сканера, отличного от ClamAV (если у вас есть сомнения по поводу достоверности результатов Clam).
В качестве альтернативы, если вы не хотите перемещать файл с одного компьютера на другой - вы можете захотеть сделать файл доступным на веб-сервере - и протестировать его с помощью утилиты тестирования URL, например https://www.virustotal.com/ чтобы увидеть если это тоже подтверждает попадание.
Очевидно, вы захотите восстановить / удалить любые файлы.
Если вам нужно подтверждение попыток входящих / исходящих сообщений программ - попробуйте это...
netstat -tnp | awk '/:80 */ {split($NF,a,"/"); print a[2],a[1]}'
Обратите внимание: если процесс выполняется с правами root - и это, к сожалению, вероятно, - вам нужно будет выполнить указанную выше команду с соответствующими привилегиями для обнаружения программы.