Chkrootkit mówi „Szukając Linux / Ebury - Operacja Windigo ssh… Możliwe Linux / Ebury - Operacja Windigo installetd”, czy powinienem się martwić?

18

Niedawno pobiegłem sudo chkrootkiti był to jeden z wyników:

Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd

Podczas moich badań odkryłem ten wątek , więc próbowałem uruchomić polecane tam polecenia, pierwsze dwa polecenia:

netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so

Nic nie produkowało. Jednak to polecenie:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Wyjście:

System infected

Więc jestem zarażony czy nie? Czytałem o tym (chociaż wcześniej znalazłem bardziej opisowy raport, ale nie mogę go znaleźć ponownie), więc czy to może być to? Zrobiłem nową instalację i wciąż jest wykrywana. Czy jest jakiś sposób na dalszą kontrolę i powinienem się martwić?


Informacje o systemie operacyjnym:

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 15.10
Release:    15.10
Codename:   wily
Flavour: GNOME
GNOME Version: 3.18

Informacje o paczce:

chkrootkit:
  Installed: 0.50-3.1ubuntu1
  Candidate: 0.50-3.1ubuntu1
  Version table:
 *** 0.50-3.1ubuntu1 0
        500 http://archive.ubuntu.com/ubuntu/ wily/universe amd64 Packages
        100 /var/lib/dpkg/status
muru
źródło

Odpowiedzi:

13

Problem, jaki masz, polega na tym, że w Wily polecenie „ssh -G” nie wyświetla na górze łańcucha „Nielegalna operacja”, ale nadal wyświetla pomoc dotyczącą polecenia, więc myślę, że nic ci nie jest. Wszystkie moje instalacje Wily zgłaszają ten sam problem. To wada wykrywania. chkrootkit wymaga aktualizacji, aby zmienić mechanizm wykrywania podejrzeń.

Alexan Kulbashian
źródło
4
Prawdziwa -G opcja została dodana w openssh 6.8P1.
Stéphane Chazelas,
Więc jeśli mam wersję: OpenSSH_7.2p2 Ubuntu-4ubuntu1, OpenSSL 1.0.2g-fips 1 marca 2016 i -G nadal wyświetla pomoc, co to znaczy? Mówi: „-G Powoduje, że ssh drukuje swoją konfigurację po ocenie bloków hosta i dopasowania i kończy pracę”
Chev_603,
8

Otrzymałem również ten „możliwy” wynik infekcji z systemem Ubuntu-4ubuntu2.1 OpenSSH_7.2p2, OpenSSL 1.0.2g-fips na Ubuntu 16.04. Szukając w Internecie tego problemu, znalazłem witrynę:
https://www.cert-bund.de/ebury-faq,
który daje kilka testów do wykonania. Testy pamięci wspólnej nie były rozstrzygające, ale pozostałe trzy wyniki testów wskazywały na wynik fałszywie dodatni. Stworzyłem mały prosty skrypt do uruchomienia po pojawieniu się możliwego pozytywnego wyniku na chkrootkit:

#! /bin/bash
#
# Result filesize should be less that 15KB.
sudo find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;
# Result should return null.
sudo find /lib* -type f -name libns2.so
# Result should return null.
sudo netstat -nap | grep "@/proc/udevd"

Poleciłbym również zainstalowanie rkhunter jako dalsze sprawdzenie rootkitów.

Catwhisperer
źródło
7

Prawidłowa wersja testu to:

ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"

Ponieważ -Gdo ssh dodano opcję, -e Ggjest potrzebna, aby zapobiec fałszywym pozytywom.

Biep
źródło