问题[malware](unix)

我一直在研究 ClamAV，以了解“clamd@scan”服务在发现威胁时默认执行的操作。到目前为止，我还没有得到令人满意和明确的答案（论坛、文档等）......

问题：如果“clamav@scan”服务发现威胁，默认情况下会做什么？

进一步的问题：我希望 ClamAV 具有防病毒引擎的“经典”行为，即自动删除威胁。如果他默认不这样做，我应该怎么做才能让他这样做？

注意：选择的操作系统是 CentOS 7，使用的过程在本教程https://hostpresto.com/community/tutorials/how-to-install-clamav-on-centos-7/中描述。

谢谢！=D

我在我的 RedHat 7.x 服务器上运行 MalDet（恶意软件检测）和 ClamAV（防病毒）并希望同时运行这些进程。除了使用 CPU 资源，同时运行这两个进程是否会产生负面影响（最重要的是，一个会对另一个产生负面影响）？

我认为他们不会，但想从我的社区获得任何建议。

在尝试确保我的 iMac 上没有威胁时，我使用 Bitdefender 执行完整扫描，我发现了这个

ls -la运行输出/dev/fd：

 ls -la
total 11
dr-xr-xr-x  1 root         wheel         0 Nov 25 16:43 .
dr-xr-xr-x  3 root         wheel      5426 Nov 25 16:43 ..
crw---w---  1 ahmedyounes  tty     16,   1 Nov 26 03:42 0
crw---w---  1 ahmedyounes  tty     16,   1 Nov 26 03:42 1
crw---w---  1 ahmedyounes  tty     16,   1 Nov 26 03:42 2
dr--r--r--  1 root         wheel         0 Nov 25 16:43 3
dr--r--r--  1 root         wheel         0 Nov 25 16:43 4
dr--r--r--  1 root         wheel         0 Nov 25 16:43 5

我如何才能清除这种威胁，即使它只是 .exe 密钥生成器？这种威胁的来源可能是什么？

感谢 Scott、duskwuff 和 JigglyNaga 解决后更新

奇怪的是，我无法从 iMac 中删除它，直到我从网站转到 Gmail 并找到它。

我看到一些奇怪的 DNS 查询。他们似乎有来自我网络中机器的随机混合情况。

我有可能有恶意软件吗？

$ sudo tcpdump -n port 53
16:42:57.805038 192.168.5.134.47813 > 192.168.5.2.53: 27738+ A? Www.sApO.PT. (29)
16:42:57.826942 192.168.5.2.53 > 192.168.5.134.47813: 27738 1/0/0 A 213.13.146.142 (45)
16:43:02.813782 192.168.5.2.53 > 192.168.5.134.12193: 17076 1/0/0 A 213.13.146.142 (45)
16:43:06.232232 192.168.5.134.44055 > 192.168.5.2.53: 28471+ A? www.SaPo.pt. (29)
16:43:06.253887 192.168.5.2.53 > 192.168.5.134.44055: 28471 1/0/0 A 213.13.146.142 (45)
16:45:22.135751 192.168.5.134.11862 > 192.168.5.2.53: 48659+ A? wwW.cnn.COm. (29)
16:45:22.190254 192.168.5.2.53 > 192.168.5.134.11862: 48659 2/0/0 CNAME turner-tls.map.fastly.net., (84)
16:45:27.142154 192.168.5.134.34929 > 192.168.5.2.53: 25816+ A? wWw.cnN.com. (29)
16:45:27.168537 192.168.5.2.53 > 192.168.5.134.34929: 25816 2/0/0 CNAME turner-tls.map.fastly.net., (84)
16:45:32.150473 192.168.5.134.29932 > 192.168.5.2.53: 40674+ A? wWw.cnn.cOM. (29)
16:45:32.173422 192.168.5.2.53 > 192.168.5.134.29932: 40674 2/0/0 CNAME turner-tls.map.fastly.net., (84)

我在删除空目录时遇到问题，strace 显示错误：

rmdir("empty_dir") = -1 ENOTEMPTY (Directory not empty)

并且ls -la empty_dir什么也不显示。所以我用 debugfs 连接到 fs (ext4) 并看到这个目录中的隐藏文件：

# ls -lia empty_dir/
total 8
44574010 drwxr-xr-x 2 2686 2681 4096 Jan 13 17:59 .
44573990 drwxr-xr-x 3 2686 2681 4096 Jan 13 18:36 ..

debugfs:  ls empty_dir
 44574010  (12) .    44573990  (316) ..  
 26808797  (3768) _-----------------------------------------------------------.jpg  

为什么会发生这种情况？有没有机会在不卸载和全面检查 fs 的情况下解决这个问题？

附加信息：

“隐藏”文件只是一个普通的 jpg 文件，可以通过图像查看器打开：

debugfs:  dump empty_dir/_-----------------------------------------------------------.jpg /root/hidden_file

# file /root/hidden_file 
/root/hidden_file: JPEG image data, JFIF standard 1.02

rm -rf empty_dir没有出现同样的错误：

unlinkat(AT_FDCWD, "empty_dir", AT_REMOVEDIR) = -1 ENOTEMPTY (Directory not empty)

find empty_dir/ -inum 26808797什么都不显示。