服务器被病毒攻击,想要手动扫描服务器中的病毒,可以使用的方法包括使用专业的病毒扫描工具、检查注册表中的启动项、以及利用云安全中心的病毒查杀功能。
我们这里介绍的是通过使用专业的病毒扫描工具ClamAV来扫描病毒。
ClamAV是开源的病毒扫描引擎,适用于Linux服务器,通过执行Linux命令来更新病毒库和扫描病毒。
安装ClamAV
第一步,下载ClamAV。
登录地址:ClamAVNet下载clamav-1.3.1.linux.x86_64.rpm。然后使用WinSCP将安装包上传到/usr/local/src文件夹中。
第二步,安装clamav-1.3.1.linux.x86_64.rpm。
命令:cd /usr/local/src
yum install clamav-1.3.1.linux.x86_64.rpm
或
yum -y install epel-release
yum -y install clamav clamavd clamav-update
更新病毒库
第一步,在shell输入命令freshclam。
命令:freshclam
若结果显示上图所示,则说明不能打开freshclam.conf文件,所以需要进入/usr/local/etc文件夹中查看有没有freshclam.conf文件。
第二步,进入/usr/local/etc文件夹,先把两个配置文件的.sample后缀全部去掉,然后把两个配置文件中的Example都注释掉。
把两个配置文件中的“Example”修改为“# Example”。
第三步,在shell输入命令freshclam。
命令:freshclam
若结果显示上图所示,则说明系统中没有clamav用户。
第四步,新增用户clamav。
命令:useradd clamav
第五步,在shell输入命令freshclam。
命令:freshclam
若结果显示上图所示,则说明/usr/local/share/clamav没有创建和保存freshclam.dat的权限。
第六步,赋予/usr/local/share/clamav权限。
命令:chmod 777 /usr/local/share/clamav
第七步,在shell输入命令freshclam。
# 创建病毒库需要较长时间
命令:freshclam
扫描病毒
第一步,在shell输入扫描命令。
命令:clamscan -r -i /home
注意:使用该命令有一个缺点,若需要扫描的文件太多,则会花费较长时间。因此,该命令适用于文件较少的情况。
第二步,对于文件较多的情况,在shell输入命令clamdscan。
命令:clamdscan
若结果显示上图所示,则说明clamdscan服务没有开启。(默认是不开启的)clamdscan服务依赖于clamd进程。
第三步,开启clamdscan服务。
命令:clamd
若结果显示上图所示,则需要在配置文件clamd.conf中定义服务器类型(本地和/或TCP)。
第四步,编辑配置文件clamd.conf和freshdam.conf。
在配置文件clamd.conf做如下修改:
“#LogFile /tmp/clamd.log”修改为“LogFile /usr/local/clamav/logs/clamd.log”; “#LogFileMaxSize 2M”修改为“LogFileMaxSize 20M”; “#PidFile /run/clamav/clamd.pid”修改为“PidFile /usr/local/clamav/clamd.pid”; “#DatabaseDirectory /var/lib/clamav”修改为“DatabaseDirectory /usr/local/share/clamav”; “#LocalSocket /run/clamav/clamd.sock”修改为“LocalSocket /usr/local/clamav/socket/clamd.socket”。
在配置文件freshdam.conf做如下修改:
“#DatabaseDirectory /var/lib/clamav”修改为“DatabaseDirectory /usr/local/share/clamav”; “#UpdateLogFile /var/log/freshclam.log”修改为“UpdateLogFile /usr/local/clamav/logs/freshclam.log”; “#PidFile /run/clamav/freshclam.pid”修改为“PidFile /usr/local/clamav/pid/freshclam.pid”; “#Checks 24”修改为“Checks 24”。
第五步,在文件夹/usr/local下新建文件夹。
命令:mkdir -p /usr/local/clamav/logs
mkdir -p /usr/local/clamav/socket
mkdir -p /usr/local/clamav/pid
第六步,在shell输入命令clamd。
命令:clamd
第七步,在shell输入命令clamdscan。
命令:clamdscan
若结果显示上图所示,则说明clamdscan服务已经开启了,并且可以很快地扫描病毒。