Как я могу удалить LINUX/EBURY из Ubuntu 16.04?

Руткит LINUX/EBURY легко определить.

То, что это делает, создают символьную ссылку для libkeyutils.so и добавьте вредоносное программное обеспечение к их версии libkeyutils.so.

Я нашел мой в /lib/x86_64-linux-gnu/ и это похоже на это:

lrwxrwxrwx 1 root root    18 mrt  5  2015 /lib/x86_64-linux-gnu/libkeyutils.so.1 -> libkeyutils.so.1.5
-rw-r--r-- 1 root root 14256 okt 16  2014 /lib/x86_64-linux-gnu/libkeyutils.so.1.5

Это выглядит хорошим, но если у Вас есть больше чем 2 строки там, что Вы в беде. Проблематичный файл был бы чем-то как libkeyutils.so.1.5.0 и имейте размер примерно 32k.

Следующие файлы затронуты этим руткитом:

audit_log_user_message
audit_log_acct_message
hosts_access
connect
__syslog_chk
write
syslog
popen
hosts_access
crypt
pam_start

И закончить его. Это хеши SHA-1 заражения:

09c8af3be4327c83d4a7124a678bbc81e12a1de4 – Linux/Ebury – Version 1.3.2
2e571993e30742ee04500fbe4a40ee1b14fa64d7 – Linux/Ebury – Version 1.3.4
39ec9e03edb25f1c316822605fe4df7a7b1ad94a – Linux/Ebury – Version 1.3.2
3c5ec2ab2c34ab57cba69bb2dee70c980f26b1bf – Linux/Ebury – Version 1.3.2
471ee431030332dd636b8af24a428556ee72df37 – Linux/Ebury – Version 1.2.1
5d3ec6c11c6b5e241df1cc19aa16d50652d6fac0 – Linux/Ebury – Version 1.3.3
74aa801c89d07fa5a9692f8b41cb8dd07e77e407 – Linux/Ebury – Version 1.3.2
7adb38bf14e6bf0d5b24fa3f3c9abed78c061ad1 – Linux/Ebury – Version 1.3.2
9bb6a2157c6a3df16c8d2ad107f957153cba4236 – Linux/Ebury – Version 1.3.2
9e2af0910676ec2d92a1cad1ab89029bc036f599 – Linux/Ebury – Version 1.3.3
adfcd3e591330b8d84ab2ab1f7814d36e7b7e89f – Linux/Ebury – Version 1.3.2
bf1466936e3bd882b47210c12bf06cb63f7624c0 – Linux/Ebury – Version 1.3.2
d552cbadee27423772a37c59cb830703b757f35e – Linux/Ebury – Version 1.3.3
e14da493d70ea4dd43e772117a61f9dbcff2c41c – Linux/Ebury – Version 1.3.2
f1ada064941f77929c49c8d773cbad9c15eba322 – Linux/Ebury – Version 1.3.2

На основе этой ссылки из welivesecurity.com.

- ЕСЛИ - Вы заражены, лучше формат, и переустановите и восстановите резервное копирование, которое делает - не содержат заражение. Также с тех пор ssh включен удаляют Ваши ssh учетные данные и делают некоторые новые ключи.

Можно проверить, заражен ли ssh

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Это - вероятно, положительная ложь. Chkrootkit использует устаревшую проверку на это вредоносное программное обеспечение, которое с тех пор развилось. Это - вероятно, ничто, но сверьтесь с rkhunter вместо этого, если Вы желаете. Если Вы все еще заинтересованы, то переустанавливаете свою систему от резервных копий, поскольку она, вероятно, достигнет корневых полномочий уровня.

https://www.google.co.uk/search? q=linux+ebury& ie=UTF-8& oe=UTF-8& hl=en-gb& client=safari

https://www.cert-bund.de/ebury-faq

Я полагаю, что эта система является больше, чем что-либо еще мы через.

, Вероятно, это выполняет систему на Ваших дисках и диски, где BIOS была заменена, делая Вас почти не могущими установить 100% для веры законным системам.

фактическая вещь видеть, затронуты ли Вы, состоит в том, чтобы отформатировать диск, который весьма в состоянии, чтобы система обнаружила как внутренняя. Создание дисков на 16 ТБ.

mkfs.ext4 /dev/sdh 17000000000  

Только возможный с e2fsprogs, доступным из Ubuntu 16.04.

Затем, монтируют диск и проверяют две различных команды. Из которых должен заставить систему заморозиться, если выше '1 ТБ на 250 ГБ при обнулении', если Ваш главный диск составляет 250 ГБ.

 Sudo mkdir /mnt/data
Mount /dev/sdh /mnt/data

Sudo dd if=/dev/zero of=/mnt/data bs=128M status=progress

Sudo dd if=/dev/urandom of=/mnt/data bs=128M status=progress

Так или иначе Ebury использует сжатие на Вашем компьютере. Это также генерирует рандомизированное ошибочное обнаружение, конкретное по поводу почти всех компьютерных задач без завершения работы системы. Использование замедления или расширенного истощения батареи или замедлило систему.