ClamAV가 내 서버에서 바이러스 두 개를 발견했습니다. 이것은 바이러스입니까? 삭제해야 하나요?
/tmp/back: Perl.Shellbot-8 FOUND
/var/tmp/back: Perl.Shellbot-8 FOUND
답변1
방화벽을 사용하여 원격 서버의 포트 23으로 나가는 모든 트래픽을 차단합니다.
iptables -A OUTPUT -p tcp --dport 23 -j DROP
Symantec에 따르면 대상은 호스트 72.167.37.182이므로 더 구체적으로 지정하려는 경우(또는 다른 호스트로 나가는 포트 23이 필요한 경우 - 텔넷이 아니길 바랍니다):
iptables -A OUTPUT -p tcp -d 72.167.37.182 --dport 23 -j DROP
그런 다음 시간을 내어 컴퓨터가 실제로 감염되었는지 알아보세요. ClamAV가 적시에 이를 발견했을 수도 있습니다.
DROP로 대체된 위의 규칙을 복제하여 삭제된 패킷을 기록할 수 있습니다 LOG. 예를 들어:
iptables -A OUTPUT -p tcp -d 72.167.37.182 --dport 23 -j LOG
iptables -A OUTPUT -p tcp -d 72.167.37.182 --dport 23 -j DROP
로그에 결과가 표시되면 감염된 것입니다...
그러나 @Jan이 말했듯이 지금쯤 감염되었을 수 있으며 어떤 피해가 발생했는지 확실히 알 수 없습니다.
답변2
물론 당신은~할 수 있다삭제하세요. 귀하의 질문은 아마도삭제해야 하나요? 그래서 너무 광범위합니다.
내가 당신이라면 시스템을 핵으로 처리하고 처음부터 다시 설치하겠지만, 이는 환경과 사용 사례에 따라 다릅니다.