- 下载病毒库
ClamAVNet
main.cvd daily.cvd bytecode.cvd
或者通过以下链接下载
http://db.cn.clamav.net/daily.cvd
http://db.cn.clamav.net/main.cvd
http://db.cn.clamav.net/safebrowsing.cvd
http://db.cn.clamav.net/bytecode.cvd
2.下载rpm包(以suse11sp3为例)
3.安装clamav
将病毒库与rpm包上传至设备上一个临时目录,如/home/setup目录
#cd /home/setup
在该临时目录下执行
# rpm -ivh clamav-0.98.3-104.1.x86_64.rpm
4.更新病毒库
手动将main.cvd daily.cvd bytecode.cvd拷贝到clamav的库目录下
#cp main.cvd daily.cvd bytecode.cvd /var/lib/clamav
5.扫描病毒文件
# clamscan -r / -l clamscan.log
-r / 表示扫描根目录及其子目录下的所有文件
-l clamscan.log 表示将扫描结果记录在clamscan.log文件中
----------- SCAN SUMMARY -----------
Known viruses: 6160377
Engine version: 0.98.3
Scanned directories: 38728
Scanned files: 145462
Infected files: 3
Total errors: 21497
Data scanned: 6961.41 MB
Data read: 18996.61 MB (ratio 0.37:1)
Time: 603.898 sec (10 m 3 s)
6.分析与处理
Infected files: 3 就是代表有病毒的文件数
搜关键字FOUND,看到类似下面的信息,就是木马文件
/lib/libudev4.so: Unix.Trojan.Xorddos-1 FOUND
清除木马文件前注意:
1.看有没有异常的定时任务,如果有异常的定时任务,要将其删除。
2.用“netstat –anpt” 查看有没有异常链接,用“lsof –i:端口号”查看对应的异常链接进程,一般是“.sshd”类似的进程名,也可能是其他进程名,同样将其删除。