今天 clamAV 扫描了我的 AWS 实例并在每个实例上检测到 24 个受感染的文件。由于以下几个原因,它看起来像误报:
- 所有这些文件都是在 2022 年 10 月创建的(为什么现在才检测到它们?)
- 每个实例的 SSH 端口受 MFA + 密码 + VPN 保护。
那么,我的问题是,在这种情况下我的下一步应该是什么?我应该删除这些文件吗,据我所知,它可以是其他应用程序可以使用的系统文件。
2023-06-07T13:03:41.658+03:00 /snap/amazon-ssm-agent/6563/amazon-ssm-agent: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:42.909+03:00 /snap/amazon-ssm-agent/6563/ssm-agent-worker: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:44.659+03:00 /snap/amazon-ssm-agent/6563/ssm-cli: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:45.660+03:00 /snap/amazon-ssm-agent/6563/ssm-document-worker: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:46.910+03:00 /snap/amazon-ssm-agent/6563/ssm-session-logger: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:47.910+03:00 /snap/amazon-ssm-agent/6563/ssm-session-worker: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:49.411+03:00 /snap/amazon-ssm-agent/6312/amazon-ssm-agent: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:50.662+03:00 /snap/amazon-ssm-agent/6312/ssm-agent-worker: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:51.912+03:00 /snap/amazon-ssm-agent/6312/ssm-cli: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:52.912+03:00 /snap/amazon-ssm-agent/6312/ssm-document-worker: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:53.913+03:00 /snap/amazon-ssm-agent/6312/ssm-session-logger: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:55.413+03:00 /snap/amazon-ssm-agent/6312/ssm-session-worker: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:56.695+03:00 /snap/lxd/24061/bin/lxc: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:57.414+03:00 /snap/lxd/24061/bin/lxc-to-lxd: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:58.164+03:00 /snap/lxd/24061/bin/lxd-agent: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:03:58.915+03:00 /snap/lxd/24061/bin/lxd-benchmark: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:04:01.666+03:00 /snap/lxd/24061/bin/lxd-migrate: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:04:06.073+03:00 /snap/lxd/24061/bin/snap-query: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:04:12.420+03:00 /snap/lxd/23991/bin/lxc: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:04:13.170+03:00 /snap/lxd/23991/bin/lxc-to-lxd: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:04:13.920+03:00 /snap/lxd/23991/bin/lxd-agent: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:04:14.671+03:00 /snap/lxd/23991/bin/lxd-benchmark: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:04:16.171+03:00 /snap/lxd/23991/bin/lxd-migrate: Unix.Malware.Kaiji-10003916-0 FOUND
2023-06-07T13:04:21.073+03:00 /snap/lxd/23991/bin/snap-query: Unix.Malware.Kaiji-10003916-0 FOUND
我在https://www.clamav.net/reports/fp向 ClamAV 提交了误报报告
这是我提交的描述:
我还通过 virustotal 运行
helper文件:https://www.virustotal.com/gui/file-analysis/NmUzNWM2MGVhZWVmNmU5ODAxYTExOWVhMTNkNGM1MGM6MTY4NjE0NzAzNg==除了 clamav 之外,没有扫描程序检测到此文件中的病毒。
刚刚发布了每日签名数据库的带外更新,删除了此签名:lists.clamav.net/pipermail/clamav-virusdb/2023-June/008315.html
这样,这个误报问题就解决了。
ClamAV 项目还将审查其流程,以防止将来发生此类误报。
我还在他们的 discord中向 ClamAV 报告了这个问题。
今天早上(2023 年 6 月 7 日),ClamAV 报告了在 Amazon Linux 上的各种 cloudwatch-agent、ssm-agent、gitlab 和 docker 文件中发现的 Unix.Malware.Kaiji-10003916。误报或者我有很多清理工作要做!
所有“我也是”的帖子都表明这是误报,但仍然值得验证您的校验和。
dpkg 记录它安装在 /var/lib/dpkg/info/.md5sums 的所有文件的 md5 散列值
要查找拥有文件的包,请使用 dpkg -S 或在上面搜索其校验和。
RPM 还维护一个文件散列列表(请参阅验证选项)。
我也看到了这个。我从 Sophos 收到了一些 PHP webshell 警报,因此正在调查并使用 clamav 发现了这一点。不确定它与 Sophos 的警报有什么关系。我们的一些实例曾经运行 docker,而我的前任将其完全打开,我很久以前就清理了所有这些,但在谷歌搜索 kaiji 后,我发现有人说这是一个利用不安全 docker 安装的僵尸网络。我通过 Virus Total 运行其中一个文件,似乎只有 ClamAV 认为它有问题。我不知道这是误报还是现在只有蛤蜊发现的新东西