![ClamAV가 바이러스를 발견했습니다. 제거해야 합니까? [폐쇄]](https://linux55.com/image/57210/ClamAV%EA%B0%80%20%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4%EB%A5%BC%20%EB%B0%9C%EA%B2%AC%ED%96%88%EC%8A%B5%EB%8B%88%EB%8B%A4.%20%EC%A0%9C%EA%B1%B0%ED%95%B4%EC%95%BC%20%ED%95%A9%EB%8B%88%EA%B9%8C%3F%20%5B%ED%8F%90%EC%87%84%5D.png)
ClamAV는 내 서버에서 두 개의 바이러스를 발견했습니다. 이것은 바이러스입니까? 삭제해야 하나요?
/tmp/back: Perl.Shellbot-8 FOUND
/var/tmp/back: Perl.Shellbot-8 FOUND
답변1
방화벽을 사용하여 원격 서버의 포트 23에 대한 모든 트래픽을 차단합니다.
iptables -A OUTPUT -p tcp --dport 23 -j DROP
Symantec에 따르면 대상은 호스트 72.167.37.182이므로 보다 구체적으로 지정하려는 경우(또는 나가는 포트 23을 다른 호스트로 보내야 하는 경우 - 텔넷이므로 그렇지 않기를 바랍니다):
iptables -A OUTPUT -p tcp -d 72.167.37.182 --dport 23 -j DROP
그런 다음 잠시 시간을 내어 컴퓨터가 실제로 감염되었는지 알아보세요. ClamAV가 적시에 이를 발견했을 수도 있습니다.
DROP위의 규칙을 복사하고 로 바꾸면 삭제된 패킷을 기록 할 수 있습니다 LOG. 예를 들어:
iptables -A OUTPUT -p tcp -d 72.167.37.182 --dport 23 -j LOG
iptables -A OUTPUT -p tcp -d 72.167.37.182 --dport 23 -j DROP
로그에 결과가 표시되면 감염된 것입니다.
그러나 @Jan이 말했듯이 지금 감염되었을 수 있으며 어떤 피해가 발생했는지 확신할 수 없습니다.
답변2
물론 당신은할 수 있는삭제하세요. 귀하의 질문은 다음을 의미할 수 있습니다.삭제해야 하나요? 그러므로 그 범위가 너무 넓습니다.
저라면 시스템을 파괴하고 처음부터 다시 설치하겠지만, 역시 환경과 사용 사례에 따라 다릅니다.