ClamAV hat zwei Viren auf meinem Server gefunden. Ist das ein Virus? Soll ich es löschen?
/tmp/back: Perl.Shellbot-8 FOUND
/var/tmp/back: Perl.Shellbot-8 FOUND
Antwort1
Blockieren Sie mit Ihrer Firewall den gesamten Datenverkehr, der über Port 23 eines Remote-Servers geht:
iptables -A OUTPUT -p tcp --dport 23 -j DROP
Laut Symantec ist das Ziel der Host 72.167.37.182. Wenn Sie es also genauer angeben möchten (oder den ausgehenden Port 23 zu anderen Hosts benötigen – hoffentlich nicht, da es sich um Telnet handelt):
iptables -A OUTPUT -p tcp -d 72.167.37.182 --dport 23 -j DROP
Nehmen Sie sich dann Zeit, um herauszufinden, ob Ihr Computer tatsächlich infiziert ist. Möglicherweise hat ClamAV es rechtzeitig erkannt.
Sie können die verlorenen Pakete möglicherweise protokollieren, indem Sie die obigen Regeln mit DROPersetzt durch replizieren LOG. Beispiel:
iptables -A OUTPUT -p tcp -d 72.167.37.182 --dport 23 -j LOG
iptables -A OUTPUT -p tcp -d 72.167.37.182 --dport 23 -j DROP
Wenn Sie Ergebnisse in Ihrem Protokoll sehen, wurden Sie infiziert ...
Aber wie @Jan sagt – möglicherweise sind Sie inzwischen infiziert und können nicht mit Sicherheit wissen, welcher Schaden entstanden ist.
Antwort2
Natürlich Dudürfenlöschen. Ihre Frage bedeutet wahrscheinlichSoll ich es löschen? und ist daher zu weit gefasst.
Ich an Ihrer Stelle würde das System zerstören und von Grund auf neu installieren, aber das hängt wiederum von der Umgebung und dem Anwendungsfall ab.