挖矿*和勒索*的区别

/var/log/clamav.log//递归扫描home目录，如果发现**文件即删除，并且记录日志clamscan

对于勒索*来说，Linux中，大部分勒索*自身并不携带任何传播手段，由攻击者进行人工渗透入侵，攻击成功后上传勒索*模块，通过加密和窃取数据的方式对企业或单位进行敲诈勒索，Linux勒索*具有以下特征：

更新*库，依赖于freshclam.conf，*库目录/var/lib/clamav/daily.cvd，/var/lib/clamav/main.cvd，freshclam命令通过文件/etc/cron.d/clamav-update来运行，自动更新解注释

当使用功能clamdscan扫描时报错：filepathcheckfailure:Permissiondenied.ERROR，即时sudo执行也无效，这就是selinux上下文限制的，需要使用--fdpassparameter参数，它isrequiredtopassthe

勒索*怎么解决

#用于控制ClamAV是否使用JIT(Just-In-Time)编译器，它是是Java虚拟机的核心，它负责将Java字节码编译成本地机器代码，以提高Java程序的执行效率。JIT编译器在程序运行时可动态地将频繁执行的代码编译成本地机器代码，从而避免了每次执行都需要解释字节码的性能损失。

/var/log/clamav.log//-r扫描目录，-i只显示被*的文件，-l是保存的日志文件，-o跳过扫描OK的文件，–bell扫描到*文件发出警报声音clamdscan

#注：chkrootkit在检查rootkit的过程中使用了部分系统命令，因此，如果服务器被黑客入侵，那么依赖的系统命令可能也已经被入侵者替换，此时chkrootkit的检测结果将变得完全不可信。为了避免chkrootkit的这个问题，可以在服务器对外开放前，事先将chkrootkit使用的系统命令进行备份，在需要的时候使用备份的原始系统命令让chkrootkit对rootkit进行检测。

#参数-p，指定chkrootkit检测时使用系统命令的目录，chkrootkit指定使用原始命令扫描检测

勒索*名称

）clamd.conf：clamd守护进程的配置文件。当你使用clamdscan（而不是clamscan）命令时，该命令实际上会与后台运行的clamd守护进程进行交互来执行扫描。因此，clamdscan的行为会受到clamd.conf文件中的配置的影响。这个文件包含了与守护进程行为、日志记录、扫描选项等相关的设置。

#即--check必选参数，表示检测当前系统，–cronjob作为cron任务定期运行，–summary显示检测结果的统计信息，–sk,–skip-keypress自动完成所有检测，跳过键盘输入

常见危害：暴力破解，漏洞利用，流量攻击，木马控制(Webshell，PC木马等)，**(挖矿，蠕虫，勒索等)。

1）勒索*多以windows系统为主要传播对象/首次攻击目标，尤其利用RDP远程桌面最为常见，然后再利用系统漏洞横向传播。多以如下方式传播，包括：

标签： #病毒 #挖矿 #区别 #解决