ClamAV 在我的伺服器上發現了兩種病毒。這是病毒嗎?我應該刪除它嗎?
/tmp/back: Perl.Shellbot-8 FOUND
/var/tmp/back: Perl.Shellbot-8 FOUND
答案1
使用防火牆阻止所有流向遠端伺服器連接埠 23 的流量:
iptables -A OUTPUT -p tcp --dport 23 -j DROP
根據 Symantec 的說法,目標是主機 72.167.37.182,因此如果您想要更具體(或需要將傳出連接埠 23 發送到其他主機 - 希望不是因為它是 telnet):
iptables -A OUTPUT -p tcp -d 72.167.37.182 --dport 23 -j DROP
然後花點時間嘗試找出它是否確實感染了您的電腦 - ClamAV 可能已經及時發現了它。
您可以透過複製上述規則並DROP替換為 來記錄丟棄的資料包LOG。例如:
iptables -A OUTPUT -p tcp -d 72.167.37.182 --dport 23 -j LOG
iptables -A OUTPUT -p tcp -d 72.167.37.182 --dport 23 -j DROP
如果您在日誌中看到結果,那麼您已被感染...
但正如 @Jan 所說 - 你現在可能已經被感染了,而且你無法確定造成了什麼損害。
答案2
當然你能刪除它。你的問題可能意味著我應該刪除它嗎? 因此,它的範圍太廣泛了。
如果我是你,我會破壞系統並從頭開始重新安裝,但話又說回來,這取決於環境和用例。