今天收到softlayer 平台的服务器漏洞提醒,说有Ebury SSH Rootkit
(这个是2013/2月的病毒)
https://www.cert-bund.de/ebury-faq
http://www.welivesecurity.com/2014/02/21/an-in-depth-analysis-of-linuxebury/
依据:
a. ipcs -m 如果 有 root 666 可能被感染
b. find /lib* -type f -name libkeyutils.so* -exec ls -la {} \; 如果有大于25K的,有可能被感染
1.安装杀毒软件
http://dl.fedoraproject.org/pub/epel/6/x86_64/
rpm -ivh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
yum install chkrootkit clamav
2.用chkrootkit检查
chkrootkit
or
如果发现有异常,会报出“INFECTED”字样。所以,也可如此运行:
chkrootkit -n| grep ‘INFECTED’
安全提示:由于chkrootkit的检查过程使用了部分系统命令。因此,如果服务器被入侵,则依赖的系统命令可能也已经被入侵者做了手脚,chkrootkit的结果将变得完全不可信,甚至连系统ls等查看文件的基础命令也变得不可信。
3.用clamav检查
clamav how-to
freshclam
clamscan -r /home
clamscan -r -bell /home