ClamAV обнаружил два вируса на моем сервере. Это вирус? Мне его удалить?
/tmp/back: Perl.Shellbot-8 FOUND
/var/tmp/back: Perl.Shellbot-8 FOUND
решение1
Заблокируйте весь трафик, исходящий на порт 23 удаленного сервера, с помощью брандмауэра:
iptables -A OUTPUT -p tcp --dport 23 -j DROP
По данным Symantec, местом назначения является хост 72.167.37.182, поэтому, если вы хотите уточнить (или вам нужен исходящий порт 23 для других хостов — надеюсь, нет, так как это telnet):
iptables -A OUTPUT -p tcp -d 72.167.37.182 --dport 23 -j DROP
Затем потратьте время и попытайтесь выяснить, действительно ли он заразил ваш компьютер — ClamAV мог вовремя обнаружить его.
Вы могли бы, возможно, регистрировать отброшенные пакеты, реплицируя вышеуказанные правила с DROPзаменой на LOG. Например:
iptables -A OUTPUT -p tcp -d 72.167.37.182 --dport 23 -j LOG
iptables -A OUTPUT -p tcp -d 72.167.37.182 --dport 23 -j DROP
Если вы видите результаты в своем журнале, значит, вы заражены...
Но как говорит @Jan, вы, возможно, уже были инфицированы и не можете знать наверняка, какой ущерб был нанесен.
решение2
Конечно тыможетудалить его. Ваш вопрос, вероятно, означаетСтоит ли мне его удалить? и, как таковой, является слишком широким.
Если бы я был на вашем месте, я бы разрушил систему и переустановил ее с нуля, но, опять же, это зависит от среды и варианта использования.