专用服务器遇到病毒

听起来像是在谈论rootkit，木马和蠕虫 – 而不是病毒（因为这似乎是Linux服务器而不是MSWindows盒子）。

ClamAV是一种反病毒工具，它可以检测其他types的恶意软件，但function非常有限。 事实上，除非你在服务器上运行samba（这将是一个非常愚蠢的事情），或者允许任何人上传文件（再次，哑巴），使用ClamAV没有意义。

第一件要做的事情是让服务器擦干净，并从源媒体重新安装。 然后按照通常的步骤重新启动服务（例如，确保你没有从备份中安装相同的后门程序）。

我build议获得一些有效的帮助来加强服务器 – 不要花费一天时间才能使系统相对安全（假设您已经确保您从备份恢复的任何内容都是安全的）。 其中一部分将包括locking任何远程pipe理访问，特别是通过SSH。

你还应该煽动定期备份和运行rkhunter / chkrootkit。

调查你是如何得到这些病毒的，Unaware用户？ 应用程序？ 邮件？ networking驱动器？

• 设置用户，密码和权限。 这里有很多保护系统的策略，但是保持简单，只需要closures所有的东西，直到有人需要它。
• 保持应用程序的日志和你的用户在做什么。
• 有一个应用程序和用户portafolio
• 不要使用服务器来检查邮件，聊天或玩游戏。 不允许任何人使用它，只有它的服务。

保持简单和干净。

Rigth现在我会build议你格式化，并从零再次得到服务器。 在我看来，我还没有发现需要mi窗口箱上的防病毒，只是保持控制你的服务器。

你在用什么操作系统？

坏消息是：

• 要运行一个公共服务器， 你需要知道你在做什么 ，要知道你需要运行一个公共服务器（是的，你可以了解需要什么，但是你不会有相同的经验，只是理论背景 -无论如何你需要 – 注意：我不是说你应该运行一个公共的服务器没有事先的理论知识）
• 要可靠地清理受损服务器，唯一确定的方法是从头开始进行完整的安装

基本的东西来保护服务器：

• 不允许通过未encryption的通道进行远程login（telnet）
• 不允许远程rootlogin（从不！
• 不要允许基于密码的login
  • 如果你不能没有密码的login，一定要使用一个强大的密码
• 默认情况下，防火墙应该阻止所有传入和传出的连接
• 根据实际需求授予访问权限（您是否真的想要允许所有传出连接，或者更确切地说只是已经与通过允许的端口传入的内容相关联的连接）
• 不要做坏事枚举（不要发送看起来可疑的日志文件的行，而是发送不符合“已知好”模式的日志文件的行 – 有一个工具，可以为你做到这一点： logcheck ）
• 订阅您使用的软件包/发行版的安全列表，并尽快安装更新
  • 至less定期安装安全更新 – 每周（至less每月一次）！ 每3个月或每年安装一次是不够的（这可能导致停机时间，而且太昂贵的说法是不计算的，如果你的服务是有价值的，你必须有冗余和testing环境，这样你总是可以closures一个主机一次下来）

听起来像很多，但所有这一切都非常好脚本（假设Debian / Linux）。 我很确定它也可以在其他操作系统上轻松完成，但是我的主要环境是Debian，所以我知道如何使用发行版本身提供的工具