Niedawno pobiegłem sudo chkrootkit
i był to jeden z wyników:
Searching for Linux/Ebury - Operation Windigo ssh... Possible Linux/Ebury - Operation Windigo installetd
Podczas moich badań odkryłem ten wątek , więc próbowałem uruchomić polecane tam polecenia, pierwsze dwa polecenia:
netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so
Nic nie produkowało. Jednak to polecenie:
ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
Wyjście:
System infected
Więc jestem zarażony czy nie? Czytałem o tym (chociaż wcześniej znalazłem bardziej opisowy raport, ale nie mogę go znaleźć ponownie), więc czy to może być to? Zrobiłem nową instalację i wciąż jest wykrywana. Czy jest jakiś sposób na dalszą kontrolę i powinienem się martwić?
Informacje o systemie operacyjnym:
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 15.10
Release: 15.10
Codename: wily
Flavour: GNOME
GNOME Version: 3.18
Informacje o paczce:
chkrootkit:
Installed: 0.50-3.1ubuntu1
Candidate: 0.50-3.1ubuntu1
Version table:
*** 0.50-3.1ubuntu1 0
500 http://archive.ubuntu.com/ubuntu/ wily/universe amd64 Packages
100 /var/lib/dpkg/status
źródło
-G
opcja została dodana w openssh 6.8P1.Otrzymałem również ten „możliwy” wynik infekcji z systemem Ubuntu-4ubuntu2.1 OpenSSH_7.2p2, OpenSSL 1.0.2g-fips na Ubuntu 16.04. Szukając w Internecie tego problemu, znalazłem witrynę:
https://www.cert-bund.de/ebury-faq,
który daje kilka testów do wykonania. Testy pamięci wspólnej nie były rozstrzygające, ale pozostałe trzy wyniki testów wskazywały na wynik fałszywie dodatni. Stworzyłem mały prosty skrypt do uruchomienia po pojawieniu się możliwego pozytywnego wyniku na chkrootkit:
Poleciłbym również zainstalowanie rkhunter jako dalsze sprawdzenie rootkitów.
źródło
Prawidłowa wersja testu to:
Ponieważ
-G
do ssh dodano opcję,-e Gg
jest potrzebna, aby zapobiec fałszywym pozytywom.źródło