Uno dei nostri server client era affetto da virus e non può controllarlo. E lui mi ha chiesto di esaminare i problemi. Ho verificato sul server e ho scoperto che un account è stato gravemente compromesso ed eseguo i passaggi seguenti per rimuoverlo.
Nota: se hai installato il clamav dal plugin WHM, il percorso di installazione di clamav è il seguente. Se hai installato manualmente trova il percorso esatto e usalo in questo modo.
1. Come eseguire clamscan su un determinato account utente nel server cpanel?
Utilizzare il metodo seguente per eseguire clamscan su un determinato account utente. Cambia il tuo nome utente in base a questo. Ho intenzione di eseguire la scansione su account mandaz perché ho trovato che pochi file infetti questo account. Avrai lo smiler dell’output come sotto. Dopo aver completato la scansione
# /usr/local/cpanel/3rdparty/bin/clamscan -ri /home/mandaz/public_html LibClamAV Warning: ************************************************** LibClamAV Warning: *** The virus database is older than 7 days! *** LibClamAV Warning: *** Please update it as soon as possible. *** LibClamAV Warning: ************************************************** LibClamAV Warning: Detected duplicate databases /usr/local/cpanel/3rdparty/share/clamav/main.cvd and /usr/local/cpanel/3rdparty/share/clamav/main.cld. The /usr/local/cpanel/3rdparty/share/clamav/main.cvd database is older and will not be loaded, you should manually remove it from the database directory. /home/mandaz/public_html/wp-content/plugins/tinymce-advanced/css/index2CDEN.php: PHP.Trojan.Spambot FOUND /home/mandaz/public_html/wp-content/themes/twentyeleven/images/infocf5D.php: PHP.Trojan.Spambot FOUND ----------- SCAN SUMMARY ----------- Known viruses: 3914119 Engine version: 0.98.1 Scanned directories: 257 Scanned files: 2066 Infected files: 2 Data scanned: 61.04 MB Data read: 43.68 MB (ratio 1.40:1) Time: 17.003 sec (0 m 17 s)
Verifica i file infetti e rimuovilo.
Le principali opzioni comuni per il comando clamav.
-r: per controllare i file in modo ricorsivo.
-i: per mostrare solo i file infetti.
2) Come eseguire clamscan su tutti gli account nel server cpanel?
Utilizzare il seguente metodo per eseguire clamscan su tutti gli account utente. Ho intenzione di eseguire la scansione su tutti gli account utente sul server. Avrai lo smiler dell’output come sotto. Dopo aver completato la scansione
# /usr/local/cpanel/3rdparty/bin/clamscan -ri /home LibClamAV Warning: ************************************************** LibClamAV Warning: *** The virus database is older than 7 days! *** LibClamAV Warning: *** Please update it as soon as possible. *** LibClamAV Warning: ************************************************** LibClamAV Warning: SWF: Invalid tag length. LibClamAV Warning: SWF: Invalid tag length. LibClamAV Warning: SWF: Invalid tag length. LibClamAV Warning: SWF: Invalid tag length. LibClamAV Warning: SWF: Invalid tag length. LibClamAV Warning: SWF: Invalid tag length. LibClamAV Warning: SWF: Invalid tag length. LibClamAV Warning: SWF: Invalid tag length. /home/esempio1/mail/esempio1.com/info/cur/1527769528.M897455P30617.mioserver.net,S=81123,W=82332:2,S: Doc.Dropper.Agent-6566563-0 FOUND /home/esempio1/mail/esempio1.com/info/cur/1527168709.M319229P17496.mioserver.net,S=100148,W=101563:2,S: Doc.Dropper.Agent-6555717-0 FOUND /home/esempio2/mail/esempio2.com/info/cur/1527149553.M563997P6934.mioserver.net,S=83129,W=84313:2,S: Doc.Dropper.Agent-6555685-0 FOUND /home/esempio3/mail/esempio3.com/info/cur/1526548034.M609289P14920.mioserver.net,S=79906,W=81040:2,S: Doc.Dropper.Agent-6546802-0 FOUND LibClamAV Warning: SWF: Invalid tag length. ----------- SCAN SUMMARY ----------- Known viruses: 3914119 Engine version: 0.98.1 Scanned directories: 70469 Scanned files: 1688827 Infected files: 4 Data scanned: 23658.66 MB Data read: 44894.86 MB (ratio 0.53:1) Time: 7090.407 sec (118 m 10 s)
Verifica i file infetti e rimuovilo.
3) Come eseguire clamscan nella directory public_html per tutti gli account nel server cpanel?
Utilizzare il seguente metodo per eseguire clamscan alla directory public_html per tutti gli account nel server cpanel
# /usr/local/cpanel/3rdparty/bin/clamscan -ri /home/*/public_html
4) Come rimuovere il file infetto durante la scansione stessa?
Utilizzare questo metodo per eseguire il clamscan e rimuovere il file infetto durante la scansione stessa.
# /usr/local/cpanel/3rdparty/bin/clamscan -ri --remove /home/*/public_html