ClamAVは私のサーバーで2つのウイルスを発見しました。これはウイルスですか?削除する必要がありますか?
/tmp/back: Perl.Shellbot-8 FOUND
/var/tmp/back: Perl.Shellbot-8 FOUND
答え1
ファイアウォールを使用して、リモートサーバーのポート23へのすべてのトラフィックをブロックします。
iptables -A OUTPUT -p tcp --dport 23 -j DROP
Symantecによると、ターゲットはホスト72.167.37.182なので、より具体的に指定したい場合(または発信ポート23を別のホストに送信する必要がある場合はTelnetなので、そうでないことを願っています):
iptables -A OUTPUT -p tcp -d 72.167.37.182 --dport 23 -j DROP
その後、しばらく時間をかけて、コンピュータが実際に感染しているかどうかを確認します。 ClamAVがタイムリーにこれを発見したかもしれません。
DROP
上記のルールをコピーして置き換えると、ドロップされたパケットを記録できますLOG
。たとえば、
iptables -A OUTPUT -p tcp -d 72.167.37.182 --dport 23 -j LOG
iptables -A OUTPUT -p tcp -d 72.167.37.182 --dport 23 -j DROP
ログに結果が表示された場合は感染しています。
しかし、@Janが言ったように、今感染している可能性があり、どんなダメージが発生したのかわかりません。
答え2
もちろんできる削除してください。あなたの質問は次のことを意味します。削除する必要がありますか? したがって、その範囲が広すぎます。
私はシステムを破壊して最初から再インストールしますが、やはり環境やユースケースによって異なります。