К сожалению, у меня очень мало опыта работы с Linux. У нас есть экземпляр Amazon, на котором запущен Debian 7.6, и мы получили сообщение от Amazon о том, что мы сканируем порты. Мы надеемся остановить это, ограничив исходящий трафик через группу безопасности Amazon, но в рамках расследования мы провели:
sudo clamscan -r -i --bell
это показало следующую возможную инфекцию:
/ var / lib / tomcat7 / update_ Contemporary: Unix.Trojan.Elknot НАЙДЕНО
и я могу найти об этом очень мало (но кое-что о ElkKnot с дополнительным K - это одно и то же?)
Следующие предупреждения также появляются несколько раз в выводе:
WARNING: Can't open file /sys/module/nfnetlink_log/uevent: Permission denied
LibClamAV Warning: fmap_readpage: pread fail: asked for 4094 bytes @ offset 2, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
LibClamAV Warning: fmap_readpage: pread fail: asked for 4077 bytes @ offset 19, got 0
Итак, мои вопросы: как я могу определить, является ли заявленная инфекция подлинной или ложноположительной? Стоит ли беспокоиться обо всех предупреждениях LibClamAV? Являются ли они признаком того, что что-то не так или что Debian настроен неправильно?
Что касается "Как я могу определить, подлинный или ложный положительный результат?"
Вы можете скопировать файл (если возможно) на другой носитель для проверки с помощью антивирусного сканера, отличного от ClamAV (если у вас есть сомнения относительно достоверности результата Clam).
В качестве альтернативы, если вы не хотите перемещать файл с одной машины на другую - вы можете сделать файл доступным на веб-сервере - и протестировать с помощью утилиты проверки URL, например https://www.virustotal.com/ чтобы увидеть, подтверждает ли это попадание.
Очевидно, вы захотите вернуть / удалить любые файлы.
Если вам нужно подтверждение программ, пытающихся установить входящую / исходящую связь - попробуйте это ...
netstat -tnp | awk '/:80 */ {split($NF,a,"/"); print a[2],a[1]}'
Обратите внимание: если процесс выполняется с привилегиями root - а это, к сожалению, скорее всего так и есть - вам потребуется выполнить указанную выше команду с соответствующими привилегиями для программы, которая будет обнаружена.