Chkrootkit заявляет “Поиск Linux/Ebury - Операцию Windigo ssh … Возможный Linux/Ebury - Операция Windigo installetd”, я должен быть взволнован?
Я недавно работал sudo chkrootkit и это было одним из результатов:
Searching for Linux/Ebury - Operation Windigo ssh... Possible Linux/Ebury - Operation Windigo installetd
В моем исследовании в области этого я обнаружил этот поток, таким образом, я пытался выполнить команды, рекомендуемые туда, первые две команды:
netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so
Произведенный ничто. Однако эта команда:
ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
Произведенный:
System infected
Таким образом, я заражен или нет? Я читал об этом (хотя я нашел более описательный отчет прежде, но не могу найти его снова), таким образом, это могло быть этим? Я сделал новую установку, и она все еще обнаруживается. Так есть ли какой-либо способ дальнейшей проверки, и я должен быть взволнован?
Информация об ОС:
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 15.10
Release: 15.10
Codename: wily
Flavour: GNOME
GNOME Version: 3.18
Информация о пакете:
chkrootkit:
Installed: 0.50-3.1ubuntu1
Candidate: 0.50-3.1ubuntu1
Version table:
*** 0.50-3.1ubuntu1 0
500 http://archive.ubuntu.com/ubuntu/ wily/universe amd64 Packages
100 /var/lib/dpkg/status
3 ответа
Проблема, которую Вы имеете, состоит в том, что в Коварном, команда "ssh-G" не производит "Недопустимую Операцию" строка наверху, но она все еще показывает справку команды, таким образом, я думаю, что Вы в порядке. Все мои Коварные установки сообщают о той же проблеме. Это - дефект обнаружения. chkrootkit должен быть обновлен для изменения, это - механизм обнаружения подозрения.
Я также получил тот "возможный" результат инвазии, выполняющий Ubuntu-4ubuntu2.1 OpenSSH_7.2p2, OpenSSL 1.0.2g-fips на Ubuntu 16.04. При искании онлайн этой проблемы я нашел сайт:
https://www.cert-bund.de/ebury-faq
, который дает некоторые тесты для выполнения. Общая память тестирует, где не окончательный, но другие три результата испытаний были показательны из положительной лжи. Я создал маленький простой сценарий для погони за возможным положительным результатом, обнаруживается на chkrootkit:
#! /bin/bash
#
# Result filesize should be less that 15KB.
sudo find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;
# Result should return null.
sudo find /lib* -type f -name libns2.so
# Result should return null.
sudo netstat -nap | grep "@/proc/udevd"
я также рекомендовал бы установить rkhunter как дальнейшая проверка на руткиты.
Правильная версия теста:
ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"
Как -G опция была добавлена к ssh, эти -e Gg необходим для предотвращения ложных положительных сторон.