[大阪/横滨/德岛] 寻找基础设施/服务器端工程师!

[大阪/横滨/德岛] 寻找基础设施/服务器端工程师!

【超过500家企业部署】AWS搭建、运维、监控服务

【超过500家企业部署】AWS搭建、运维、监控服务

【CentOS的后继者】AlmaLinux OS服务器搭建/迁移服务

【CentOS的后继者】AlmaLinux OS服务器搭建/迁移服务

[仅适用于 WordPress] 云服务器“Web Speed”

[仅适用于 WordPress] 云服务器“Web Speed”

[便宜]网站安全自动诊断“快速扫描仪”

[便宜]网站安全自动诊断“快速扫描仪”

[预约系统开发] EDISONE定制开发服务

[预约系统开发] EDISONE定制开发服务

[注册100个URL 0日元] 网站监控服务“Appmill”

[注册100个URL 0日元] 网站监控服务“Appmill”

【兼容200多个国家】全球eSIM“超越SIM”

【兼容200多个国家】全球eSIM“超越SIM”

[如果您在中国旅行、出差或驻扎]中国SIM服务“Choco SIM”

[如果您在中国旅行、出差或驻扎]中国SIM服务“Choco SIM”

【全球专属服务】Beyond北美及中国MSP

【全球专属服务】Beyond北美及中国MSP

[YouTube]超越官方频道“美由丸频道”

[YouTube]超越官方频道“美由丸频道”

卡巴斯基发布了OSS防病毒工具,所以我尝试了一下(卡巴斯基病毒删除工具Linux版)

你好。
早上,
系统解决方案部门的内存不足。

最近我正在寻找一款好的OSS杀毒软件产品,
著名的卡巴斯基公司在六月份左右发布了一款名为“ Kaspersky Virus Removal Tool for Linux ”的工具,我对此很感兴趣,所以我想写一篇文章简单介绍一下。经核实为备忘录。

下载

■验证环境

Ubuntu 24.04 LTS 卡巴斯基病毒删除工具 24.0.5.0 

请尝试从下面下载。
https://www.kaspersky.com/downloads/free-virus-removal-tool

基本上按照官方流程就可以了。
很方便,因为每次都会执行,所以不需要安装。
https://support.kaspersky.com/help/kvrt/2024/en-us/269465.htm

从浏览器下载后,更改权限并尝试运行。
首先,要从 GUI 执行的模式。

$ cd ~/Downloads $ chmod +x kvrt.run $ ./kvrt.run 以 root 权限运行 生成的目录是</tmp/9d208c686fe9d56312596>正在验证存档完整性... 100% SHA256 校验和正常 解压缩适用于 Linux 的卡巴斯基病毒删除工具 24.0.5.0 100% ===================== =。 ========== 使用 args <> 运行 kvrt =================================== compver :24.0.5.0 x86-64(2024年7月9日17:36:48)产品文件夹----------------------------------------

▼ 将显示使用条款,因此,如果您可以确认每一项,请选中该框并继续下一步。

▼ 第一次会显示版本信息,如果可以确认,请按关闭,然后立即单击[开始扫描]。

▼ 等待扫描执行。这次我用干净的图像运行它,所以没有检测到任何东西。

该工具只能现场运行,不具备实时扫描功能。
如果你想手动运行它,使用GUI没有问题,但如果你想定期运行它,建议将它放在cron中并通过CLI运行它。

下次我会通过 CLI 尝试。

通过 CLI 执行

首先,帮助。
https://support.kaspersky.com/help/kvrt/2024/en-us/269475.htm

-h - 显示帮助 -d<folder_path> - 隔离和报告文件夹的路径 -accepteula - 接受 EULA、隐私政策和 KSN 声明 -trace - 启用跟踪收集 -tracelevel<level> - 设置跟踪级别: ERR - 仅错误消息 WRN - 警告和错误 INF - 信息、警告和错误 DBG - 所有消息 -processlevel<level> - 设置要消除的物体的危险等级: 0 - 跳过高、中、低危险等级的物体 1 - 消除高危险等级的物体 2 - 消除高、中危险等级的物体 3 - 消除高、中、低危险等级的物体中低危险级别 -dontencrypt - 禁用跟踪文件/报告/转储文件的加密 -details - 启用详细报告 -proxyconfig<config_file_path> - 使用代理配置的文件路径 -silent - 不使用 GUI 运行扫描 -adinsilent - 在静默模式下运行主动消毒 -allvolumes - 添加所有卷进行扫描 -custom<folder_path> - 用于扫描的自定义文件夹的路径 -customlist<file_path> - 包含用于扫描的自定义文件夹的文件路径 - 排除<folder_path>-从自定义扫描中排除路径 -excludelist<file_path> - 排除自定义扫描的文件路径 -customonly - 仅运行自定义文件夹扫描

我将尝试以最少的选项运行它。

-silent 阻止 GUI 启动。
-接受跳过约定。

$ ./kvrt.run -- -silent -accepteula 图形模式为<wayland>localuser:root 被添加到访问控制列表 以 root 权限运行 生成的目录是</tmp/92302b5bca4f82e716374>正在验证存档完整性... 100% SHA256 校验和正常 解压缩适用于 Linux 的卡巴斯基病毒删除工具 24.0.5.0 100% ===================== =。 ========== 使用参数运行 kvrt <-trace -silent -accepteula> ============================= = ===== 编译器:24.0.5.0 x86-64(2024 年 7 月 9 日 17:36:48) 产品文件夹 ======================== = ======== 扫描开始 =================================== ===== = =========================== 扫描已完成,结果为:已处理:27957 处理错误:0 检测到:0 密码保护:0 已损坏:0 =================================================== = ================ kvrt 退出,代码为 <0> ============================ = ====== localuser:root 已从访问控制列表中删除

就像运行 GUI 时一样,没有检测到任何内容。

尝试检测恶意软件

接下来,让我们检测恶意软件。
作为准备,从 eicar 站点(在 ./Downloads 下)下载以下文件。
https://www.eicar.org/download-anti-malware-testfile/

▼ 将 eicar 文件放在“下载”下。

$ ls -l 总计 151296 -rw-rw-r-- 1 hamchan hamchan 68 十月 29 10:26 eicar.com -rw-rw-r-- 1 hamchan hamchan 184 十月 28 14:01 eicar_com.zip

这次,我将指定“下载”下的文件夹并运行它。

-trace 启用跟踪。
-tracelevel 设置为“DEBUG”以输出所有事件日志。
-custom 指定检查目录。
-processlevel 这次,将其设置为 3,以检测从低到高范围内的所有威胁。

 ./kvrt.run -- -accepteula -trace -tracelevel DBG -custom /home/hamchan/Downloads/ -processlevel 3 -silent 图形模式为<wayland>localuser:root 被添加到访问控制列表 以 root 权限运行 生成的目录是</tmp/74a8bcf3a3339fc810150>正在验证存档完整性... 100% SHA256 校验和正常 解压缩适用于 Linux 的卡巴斯基病毒删除工具 24.0.5.0 100% ===================== =。 ========== 使用参数运行 kvrt <-accepteula -trace -tracelevel DBG -custom /home/hamchan/Downloads/ -processlevel 3 -silent> ============ = ==================== 编译器:24.0.5.0 x86-64(2024 年 7 月 9 日 17:36:48) 产品文件夹 ========= = ======================= 扫描开始 ======================= = ========= 威胁<EICAR-Test-File>在物体上检测到</home/hamchan/Downloads/eicar.com>威胁<EICAR-Test-File>在物体上检测到</home/hamchan/Downloads/eicar_com.zip>================================= 扫描完成,结果为:已处理:27961 处理错误:0 检测到:2 密码受保护:0 已损坏:0 =================================== 操作<Cure>被选择为威胁<EICAR-Test-File>在物体上</home/hamchan/Downloads/eicar.com>行动<Cure>被选择为威胁<EICAR-Test-File>在物体上</home/hamchan/Downloads/eicar_com.zip>===================================消毒开始============== =================== 消毒行动<Quarantine>为了威胁<EICAR-Test-File>在物体上</home/hamchan/Downloads/eicar.com>已完成状态<Quarantined>消毒行动<Quarantine>为了威胁<EICAR-Test-File>在物体上</home/hamchan/Downloads/eicar_com.zip>已完成状态<Quarantined>消毒行动<Cure>为了威胁<EICAR-Test-File>在物体上</home/hamchan/Downloads/eicar.com>已完成状态<CureFailed>消毒行动<Cure>为了威胁<EICAR-Test-File>在物体上</home/hamchan/Downloads/eicar_com.zip>已完成状态<CureFailed>消毒行动<Delete>为了威胁<EICAR-Test-File>在物体上</home/hamchan/Downloads/eicar.com>已完成状态<Deleted>消毒行动<Delete>为了威胁<EICAR-Test-File>在物体上</home/hamchan/Downloads/eicar_com.zip>已完成状态<Deleted>================================= 消毒完成,结果:已处理:4 处理错误:0 已跳过:0 已隔离: 2 隔离失败: 0 已治愈: 0 治愈失败: 2 重新启动后修复: 0 已删除: 2 重新启动时删除: 0 已恢复: 0 重新启动时恢复: 0 ================ ================= =================================== kvrt 退出,代码为 <0> =================================== localuser:root 已从访问控制列表中删除

从日志来看,病毒被隔离后似乎被成功检测并删除。
目录中也缺少文件。

$ ls -lha drwxr-xr-x 2 hamchan hamchan 4.0K 10 月 29 日 10:49 drwxr-x--- 17 hamchan hamchan 4.0K 10 月 29 日 10:44 ..

顺便说一句,每次执行时,隔离文件都会保存在以下位置(以 root 身份执行时)。

$ sudo ls -l /var/opt/KVRT2024_Data 总计 24 drwx-------- 2 root root 4096 Oct 28 13:52 异常 drwx----- 2 root root 4096 Oct 29 10:45 '法律声明' drwx------ 4 root root 4096 10 月 29 日 10:49 隔离 drwx------ 2 root root 4096 10 月 29 日 10:45 报告 drwx------ 2 root root 4096 10 月 29 日 10:49 Temp drwx------ 2 root root 4096 Oct 29 10:45 Traces $ sudo ls -l /var/opt/KVRT2024_Data/Quarantine 总计 12 drwx------ 2 root root 4096 Oct 29 10:49 KVRTQ0001 drwx------ 2 根 根 4096 十月 29 日 11:34 KVRTQ0002 drwx------ 2 根 根 4096 十月 29 日 11:41 KVRTQ0003

如果由于过度检测等原因想要恢复文件,可以通过 GUI 来完成。
https://support.kaspersky.com/help/kvrt/2024/en-us/269476.htm
▼ 从列表中选择文件并将其恢复到原始目录。

相对于收费的软件来说,上面的内容很简单,但是
由于它可以用OSS做很多事情,并且操作起来相对较轻,所以我认为对于个人使用来说还是相当有用的。
微软好像最近发布了一个针对Linux的工具,有时间的话想看看。

完全的

如果您觉得这篇文章有帮助,请点赞!
8
加载中...
8 票,平均:1.00 / 18
192
X Facebook 哈特纳书签 口袋
[2025.6.30 Amazon Linux 2 支持结束] Amazon Linux 服务器迁移解决方案

[2025.6.30 Amazon Linux 2 支持结束] Amazon Linux 服务器迁移解决方案

写这篇文章的人

关于作者

川健

属于系统解决方案部的
好奇的 Poke○n