ClamAV ha encontrado dos virus en mi servidor. ¿Es esto un virus? ¿Debería eliminarlo?
/tmp/back: Perl.Shellbot-8 FOUND
/var/tmp/back: Perl.Shellbot-8 FOUND
Respuesta1
Bloquee todo el tráfico que sale al puerto 23 de un servidor remoto usando su firewall:
iptables -A OUTPUT -p tcp --dport 23 -j DROP
Según Symantec, el destino es el host 72.167.37.182, por lo tanto, si desea ser más específico (o necesita el puerto de salida 23 para otros hosts, con suerte no porque es telnet):
iptables -A OUTPUT -p tcp -d 72.167.37.182 --dport 23 -j DROP
Luego tómate un tiempo para intentar descubrir si realmente ha infectado tu máquina; es posible que ClamAV lo haya detectado a tiempo.
Posiblemente podría registrar los paquetes descartados replicando las reglas anteriores y DROPreemplazándolas por LOG. Por ejemplo:
iptables -A OUTPUT -p tcp -d 72.167.37.182 --dport 23 -j LOG
iptables -A OUTPUT -p tcp -d 72.167.37.182 --dport 23 -j DROP
Si ve resultados en su registro, entonces ha sido infectado...
Pero como dice @Jan, es posible que ya hayas sido infectado y no puedas saber con certeza qué daño se ha causado.
Respuesta2
Por supuesto túpoderbórralo. Tu pregunta probablemente signifique¿Debería eliminarlo? y como tal, es demasiado amplio.
Si yo fuera usted, destruiría el sistema y lo reinstalaría desde cero, pero eso depende del entorno y el caso de uso.