Троянская версия файла "egrep", обнаруженная OSSEC HIDS

Question

Троянская версия файла "egrep", обнаруженная OSSEC HIDS

Я установил последнюю стабильную версию OSSEC (2.8.1), я также включил уведомления по электронной почте, и сегодня я получил это предупреждение по электронной почте:

OSSEC HIDS Notification.
2015 Apr 03 17:40:26

Received From: Bath-Towel->rootcheck
Rule: 510 fired (level 7) -> "Host-based anomaly detection event (rootcheck)."
Portion of the log(s):

Trojaned version of file '/bin/egrep' detected. Signature used: 'bash|^/bin/sh|file\.h|proc\.h|/dev/|^/bin/.*sh' (Generic).



 --END OF NOTIFICATION

Стоит ли беспокоиться об этом, и если да, то что мне с этим делать?

Обновление информации:

Это содержимое файла /bin/egrep:

#!/bin/bash
grep=grep
case $0 in
  */*)
    dir=${0%/*}
    if test -x "$dir/grep"; then
      PATH=$dir:$PATH
      grep=grep
    fi;;
esac
exec $grep -E "$@"

Информация об ОС:

Description:    Ubuntu 14.10
Release:    14.10

2

malware antivirus trojan ossec

Источник

03 апр '15 в 16:47

1 ответ

Решение

Другие вопросы по тегам malware antivirus trojan ossec

Eric Carvalho 03 апр '15 в 19:14 2015-04-03 19:14 · Accepted Answer · 2015-04-03 19:14

У меня установлен OSSEC на некоторых серверах 14.04, но я никогда не получал такого уведомления.

Оказывается, до Ubuntu 14.04 /bin/egrep является исполняемым файлом ELF, но в 14.10 и более поздних версиях это сценарий оболочки. Вероятно, OSSEC еще не был обновлен, чтобы отразить это изменение.