从受感染的 ubuntu 机器恢复文件的良好做法是什么?

从受感染的 ubuntu 机器恢复文件的良好做法是什么?

我被学校 IT 部门告知,我的运行 ubuntu 16.04 的笔记本电脑感染了病毒/木马,具体来说: https://security.web.cern.ch/security/advisories/busywinman/BusyWinman.shtml

显然,我的机器正在与已知的 IP 地址建立连接,以便在感染病毒时联系。我想在格式化驱动器之前以安全的方式从受感染的硬盘驱动器中恢复文件。

不幸的是,我们部门的 IT 人员/网络管理员刚刚辞职,所以我目前没有可用的内部资源指导。Linux 社区似乎在很大程度上认为 Linux 病毒不是问题——就像我几天前一样——所以我在网上找不到好的文章。因此,
我希望得到一些指导。

我目前的计划是

1)从 live-usb 运行 ubuntu。

2)使用 dconf-editor 禁用自动挂载。

3)以只读模式安装硬盘。

4)使用 clamAV 检测受感染的文件并将其删除。

5)将所有其他文件复制到新硬盘。

由于我从未遇到过这种情况,因此我将非常感激任何有关如何改进该计划的建议。

另外,我想在步骤 4 之前检查 clamAV 数据库中是否有任何相关的病毒定义。这可能/可行吗?如果可以,我该怎么做?

答案1

您的计划似乎很合理。根据我的经验,实时媒体甚至不会自动安装内部驱动器,因此您不需要为此更改设置。您可以在安装后更新 ClamAV,以确保其定义是最新的。

但是,除非您可以在一个会话中完成整个任务,否则您可能会发现在 Live 介质上安装 ClamAV 时会出现问题——安装不会在重启后保留。您可能需要研究“持久性”和“节俭安装”,以了解一种允许将软件安装到 USB 安装中的方法,这种方法在会话之间始终存在并配置。

我还建议只传输实际文件(图片、音乐、文字处理文件等),而不是任何可能可执行的文件(恶意软件可能驻留在其中)。如果您只从 /home 中的非隐藏文件夹中获取文件,则应避免将任何受感染的文件传递到新安装中。

相关内容