伟德体育注册 2013-12-04

今天收到softlayer 平台的服务器漏洞提醒,说有Ebury SSH Rootkit
(这个是2013/2月的病毒)

https://www.cert-bund.de/ebury-faq

http://www.welivesecurity.com/2014/02/21/an-in-depth-analysis-of-linuxebury/

依据:

a. ipcs -m       如果 有 root 666 可能被感染

b. find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;           如果有大于25K的,有可能被感染

1.安装杀毒软件

http://dl.fedoraproject.org/pub/epel/6/x86_64/

rpm -ivh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm

yum install chkrootkit clamav

2.用chkrootkit检查
chkrootkit
or
如果发现有异常,会报出“INFECTED”字样。所以,也可如此运行:
chkrootkit -n| grep ‘INFECTED’

安全提示:由于chkrootkit的检查过程使用了部分系统命令。因此,如果服务器被入侵,则依赖的系统命令可能也已经被入侵者做了手脚,chkrootkit的结果将变得完全不可信,甚至连系统ls等查看文件的基础命令也变得不可信。

3.用clamav检查
clamav how-to
freshclam
clamscan -r /home
clamscan -r -bell /home