Chkrootkit говорит & ldquo; Поиск Linux / Ebury - Operation Windigo ssh & hellip; Возможный Linux / Ebury - Operation Windigo installetd & rdquo ;, следует ли беспокоиться?

Начать VirtualBox и из File-> Virtual Media Manager удалить ваши виртуальные диски.

1
задан 24 December 2015 в 00:04

2 ответа

Я также получил, что «возможный» результат заражения запускает OpenSSH_7.2p2 Ubuntu-4ubuntu2.1, OpenSSL 1.0.2g-fips на Ubuntu 16.04. Глядя на сайт по этой проблеме, я нашел сайт: https://www.cert-bund.de/ebury-faq, который дает некоторые тесты для выполнения. Тестирование разделяемой памяти не является окончательным, но другие три результата теста указывают на ложный результат. Я создал небольшой простой скрипт для запуска после появления положительного результата на chkrootkit:

#! /bin/bash
#
# Result filesize should be less that 15KB.
sudo find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;
# Result should return null.
sudo find /lib* -type f -name libns2.so
# Result should return null.
sudo netstat -nap | grep "@/proc/udevd"

Я также рекомендовал бы установить в качестве дополнительной проверки для руткитов. [ ! d5]

6
ответ дан 23 May 2018 в 15:02

Правильная версия теста:

ssh -G 2>&1 | grep -e illegal -e unknown -e Gg > /dev/null && echo "System clean" || echo "System infected"

Когда в ssh добавлена ​​опция -G, для предотвращения ложных срабатываний необходимо -e Gg.

2
ответ дан 23 May 2018 в 15:02

Другие вопросы по тегам:

Похожие вопросы: