Chkrootkit говорит: "В поисках Linux/Ebury - операция Windigo ssh... Возможная Linux/Ebury - операция Windigo installetd", следует ли мне беспокоиться?

Я недавно побежал sudo chkrootkit и это был один из результатов:

Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd

В своем исследовании этого я обнаружил этот поток, поэтому я попытался выполнить команды, рекомендуемые там, первые две команды:

netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so

Ничего не выводится. Однако эта команда:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

, выдаваемые:

System infected

Так я заражен или нет? Я читал об этом (хотя я нашел более описательный отчет раньше, но не могу найти его снова), так может ли это быть? Я сделал новую установку, и она все еще обнаруживается. Так есть ли способ дальнейшей проверки, и я должен волноваться?

Информация об ОС:

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 15.10
Release:    15.10
Codename:   wily
Flavour: GNOME
GNOME Version: 3.18

Информация о пакете:

chkrootkit:
  Installed: 0.50-3.1ubuntu1
  Candidate: 0.50-3.1ubuntu1
  Version table:
 *** 0.50-3.1ubuntu1 0
        500 http://archive.ubuntu.com/ubuntu/ wily/universe amd64 Packages
        100 /var/lib/dpkg/status
Источник

3 ответа

Решение

Проблема, с которой вы столкнулись, заключается в том, что в Wily команда "ssh -G" не выводит строку "Illegal Operation" вверху, но она все равно показывает справку по команде, поэтому я думаю, что вы в порядке. Все мои установки Wily сообщают об одной и той же проблеме. Это недостаток обнаружения. Необходимо обновить chkrootkit, чтобы изменить механизм обнаружения подозрений.

Источник

Я также получил этот "возможный" результат заражения под управлением OpenSSH_7.2p2 Ubuntu-4ubuntu2.1, OpenSSL 1.0.2g-fips на Ubuntu 16.04 . Посмотрев эту проблему в интернете, я нашел сайт:
https://www.cert-bund.de/ebury-faq
который дает некоторые тесты для выполнения. Тесты с общей памятью не были окончательными, но остальные три результата тестов указывали на ложноположительный результат. Я создал небольшой простой скрипт для запуска после обнаружения возможного положительного результата в chkrootkit:

#! /bin/bash
#
# Result filesize should be less that 15KB.
sudo find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;
# Result should return null.
sudo find /lib* -type f -name libns2.so
# Result should return null.
sudo netstat -nap | grep "@/proc/udevd"

Я бы также рекомендовал установить rkhunter для дальнейшей проверки руткитов.

Источник

Правильная версия теста:

ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"

Как -G опция была добавлена ​​в ssh, -e Gg необходим для предотвращения ложных срабатываний.

Источник
Другие вопросы по тегам