ClamAV がサーバー上で 2 つのウイルスを検出しました。これはウイルスでしょうか? 削除すべきでしょうか?
/tmp/back: Perl.Shellbot-8 FOUND
/var/tmp/back: Perl.Shellbot-8 FOUND
答え1
ファイアウォールを使用して、リモート サーバーのポート 23 に送信されるすべてのトラフィックをブロックします。
iptables -A OUTPUT -p tcp --dport 23 -j DROP
Symantec によれば、宛先はホスト 72.167.37.182 であるため、より具体的に指定したい場合 (または他のホストへの送信ポート 23 が必要な場合 - telnet ではないことを願いますが) は、次のようにします。
iptables -A OUTPUT -p tcp -d 72.167.37.182 --dport 23 -j DROP
次に、実際にマシンに感染しているかどうかを調べてみてください。ClamAV が間に合うように検出している可能性があります。
上記のルールを に置き換えて複製することで、ドロップされたパケットをログに記録できる可能性がありますDROP。LOG例:
iptables -A OUTPUT -p tcp -d 72.167.37.182 --dport 23 -j LOG
iptables -A OUTPUT -p tcp -d 72.167.37.182 --dport 23 -j DROP
ログに結果が表示された場合は、感染しています...
しかし、@Jan が言うように、あなたはすでに感染している可能性があり、どのような被害があったかを確実に知ることはできません。
答え2
もちろんあなたできる削除してください。あなたの質問はおそらく削除したほうがいいでしょうか? そのため、範囲が広すぎます。
私なら、システムを全滅させて最初から再インストールしますが、それは環境と使用事例によって異なります。