O ClamAV encontrou dois vírus no meu servidor. Isso é um vírus? Devo excluí-lo?
/tmp/back: Perl.Shellbot-8 FOUND
/var/tmp/back: Perl.Shellbot-8 FOUND
Responder1
Bloqueie todo o tráfego que sai para a porta 23 de um servidor remoto usando seu firewall:
iptables -A OUTPUT -p tcp --dport 23 -j DROP
De acordo com a Symantec, o destino é o host 72.167.37.182, portanto, se você quiser ser mais específico (ou precisar da porta de saída 23 para outros hosts - espero que não, pois é telnet):
iptables -A OUTPUT -p tcp -d 72.167.37.182 --dport 23 -j DROP
Em seguida, reserve um tempo para tentar descobrir se ele realmente infectou sua máquina - o ClamAV pode tê-lo detectado a tempo.
Você poderia registrar os pacotes descartados replicando as regras acima DROPsubstituídas por LOG. Por exemplo:
iptables -A OUTPUT -p tcp -d 72.167.37.182 --dport 23 -j LOG
iptables -A OUTPUT -p tcp -d 72.167.37.182 --dport 23 -j DROP
Se você vir resultados em seu log, então você foi infectado...
Mas, como diz @Jan - você pode já ter sido infectado e não pode saber ao certo quais danos foram causados.
Responder2
Claro que vocêpodedelete isso. Sua pergunta provavelmente significaDevo excluí-lo? e, como tal, é demasiado amplo.
Se eu fosse você, destruiria o sistema e reinstalaria do zero, mas, novamente, isso depende do ambiente e do caso de uso.